На DC леса с одним AD я вошел в систему как администратор домена по умолчанию Administrator(в данном случае также администратор предприятия). В PowerShell с повышенными правами я пытаюсь получить типы шифрования Kerberos с помощью следующей команды (как описано в документацииздесь):
ksetup /getenctypeattr my.example.com
Но вместо этого я получаю сообщение об ошибке:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
В результате (скорее всего) я также получаю эту ошибку при попыткенабортипы шифрования, как описано вэтот вопрос, на который в настоящее время, к сожалению, нет серьезного ответа.
Это происходит на Windows Server 2016, а также на Windows Server 2019, которые были настроены в основном с использованием настроек по умолчанию. Как может простойполучатьfail? Код ошибки, похоже, не задокументирован. Кто-нибудь знает, как устранить неполадки или решить эту проблему?
решение1
Как может быть простополучатьнеудача?
Либо пытаясь «получить» несуществующий атрибут, либо атрибут несуществующей записи.
0xc0000034 — этостандартное значение NTSTATUS(errno) с именем «STATUS_OBJECT_NAME_NOT_FOUND» и документируется как «Имя объекта не найдено».
Судя по получению той же ошибки на set, похоже, что вся запись не существует в AD, то есть у вас не настроено «доверие» с указанной областью.
Насколько мне известно, команда, которую вы используете, не предназначена для включения/отключения типов шифрования дляместныйобласть – это определяется программным обеспечением KDC, конфигурацией реестра, ключами, удерживаемыми принципалом 'krbtgt'. Вместо этого команда только корректирует конфигурацию для доверительных отношений между областями, позволяя локальному KDC узнать, какие типы шифрования в настоящее время поддерживаются KDC указанной удаленной области.