主页 / server / 问题 / 1099053
Accepted
stackprotector
Asked: 2022-04-21 08:44:23 +0800 CST

如何以编程方式设置“其他域支持 Kerberos AES 加密”设置?

  • 772

在 GUI(Active Directory 域和信任MMC 管理单元 ( domain.msc))中,您可以为信任关系设置“其他域支持 Kerberos AES 加密”设置:

其他域支持 Kerberos AES 加密

我正在寻找一种以编程方式设置此设置的方法。我已经查看了Install-ADDSDomainPowerShell cmdlet 以及该netdom TRUST工具,但两者似乎都不包含设置Kerberos AES 加密设置的选项。

有人可以告诉我,如何以编程方式设置此设置?

windows scripting kerberos windows-server-2019 trust-relationship

1 个回答

  1. Best Answer

    这可以通过以下方式完成ksetup

    ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    另请参阅本文档。请注意您在哪里为哪个域执行此命令。您只能使用它来设置其他域的加密类型。因此,如果您在 的 DC 上child.contoso.com,您可以发出:

    ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    如果您在 的 DC 上contoso.com,您可以发出:

    ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

    其他组合是不可能的,您可能会遇到以下问题:

    • 0

相关问题