No DC de uma floresta de AD único, estou conectado como administrador de domínio padrão Administrator(neste caso, também o administrador corporativo). Em um PowerShell elevado, tento obter os tipos de criptografia Kerberos com o seguinte comando (conforme documentado aqui ):
ksetup /getenctypeattr my.example.com
Mas recebo uma mensagem de erro em vez disso:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
Em consequência (muito provavelmente), também recebo esse erro ao tentar definir os tipos de criptografia, conforme descrito nesta pergunta , que atualmente não possui uma resposta séria, infelizmente.
Isso acontece no Windows Server 2016 e também no Windows Server 2019, que foram configurados usando principalmente as configurações padrão. Como um simples get pode falhar? O código de erro não parece estar documentado. Alguém sabe como solucionar ou resolver esse problema?
Ou tentando 'obter' um atributo inexistente ou um atributo de uma entrada inexistente.
0xc0000034 é um valor NTSTATUS padrão (errno) chamado "STATUS_OBJECT_NAME_NOT_FOUND" e documentado como "O nome do objeto não foi encontrado".
Com base na obtenção do mesmo erro no set, parece que a entrada inteira não existe no AD - ou seja, você não tem uma "confiança" configurada com o domínio especificado.
Até onde eu sei, o comando que você está usando não se destina a habilitar/desabilitar tipos de criptografia para o domínio local – isso é definido pelo software KDC, configuração do registro, chaves mantidas pelo principal 'krbtgt'. Em vez disso, o comando ajusta apenas a configuração para relações de confiança entre regiões, permitindo que o KDC local saiba quais tipos de criptografia são atualmente suportados pelos KDCs da região remota especificada.