在单 AD 林的 DC 上,我以默认域管理员Administrator(在本例中也是企业管理员)身份登录。在提升的 PowerShell 中,我尝试使用以下命令获取 Kerberos 加密类型(如此处所述):
ksetup /getenctypeattr my.example.com
但我收到一条错误消息:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
结果(很可能),我在尝试设置加密类型时也会收到此错误,如this question中所述,不幸的是,该问题目前没有一个严肃的答案。
这确实发生在 Windows Server 2016 和 Windows Server 2019 上,它们大多使用默认设置进行设置。一个简单的怎么会失败?错误代码似乎没有记录。有人知道如何解决或解决这个问题吗?
通过尝试“获取”不存在的属性或不存在的条目的属性。
0xc0000034 是一个名为“STATUS_OBJECT_NAME_NOT_FOUND”的标准 NTSTATUS 值(errno),并记录为“找不到对象名称”。
基于在设置上遇到相同的错误,听起来整个条目在 AD 中不存在——也就是说,您没有使用指定领域配置的“信任”。
据我所知,您使用的命令并不意味着启用/禁用本地领域的加密类型——这是由 KDC 软件、注册表配置、“krbtgt”主体持有的密钥定义的。相反,该命令仅调整跨域信任的配置,允许本地 KDC 知道指定远程域的 KDC 当前支持哪些加密类型。