Início / server / Perguntas / 1099053
Accepted
stackprotector
Asked: 2022-04-21 08:44:23 +0800 CST

Como posso definir a configuração 'O outro domínio oferece suporte à criptografia Kerberos AES' programaticamente?

  • 772

Na GUI ( Snap-in MMC de domínios e relações de confiança do Active Directorydomain.msc ( )), você pode definir a configuração "O outro domínio oferece suporte à criptografia Kerberos AES" para uma relação de confiança:

O outro domínio oferece suporte à criptografia Kerberos AES

Estou procurando uma maneira de definir essa configuração programaticamente. Já revisei o Install-ADDSDomaincmdlet do PowerShell e também a netdom TRUSTferramenta, mas ambos não parecem incluir uma opção para definir a configuração de criptografia Kerberos AES .

Alguém pode me dizer, como posso definir essa configuração programaticamente?

windows scripting kerberos windows-server-2019 trust-relationship

1 respostas

  1. Best Answer

    Isso pode ser feito com ksetup:

    ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    Consulte também esta documentação . Esteja ciente de onde você executa este comando para qual domínio. Você só pode usá-lo para definir os tipos de criptografia para o outro domínio . Portanto, se você estiver em um DC de child.contoso.com, poderá emitir:

    ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    Se você estiver em um DC de contoso.com, poderá emitir:

    ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    Outras combinações não são possíveis e você pode enfrentar os seguintes problemas:

    • 0

relate perguntas