Um eine Verbindung mit einem LDAP-Konto herzustellen, fordert der Client ein Serviceticket (TGS-Ticket) vom Kerberos V5 Key Distribution Center (auch "KDC") an und bestimmt die unterstützten Verschlüsselungsalgorithmen. Das KDC wählt den zu verwendenden Verschlüsselungsalgorithmus aus. Der von Ihnen ausgewählte Wert bestimmt den Standardverschlüsselungstyp während der vorläufigen Authentizitätsprüfung.
Ausführlichere Informationen finden Sie in der Microsoft-Dokumentation unter folgenden Links: Network security: Configure encryption types allowed for Kerberos, Kerberos-Protokollregistrierungseinträge und KDC-Konfigurationsschlüssel in Windows.
So überschreiben Sie den standardmäßigen Verschlüsselungstyp der vorläufigen Authentizitätsprüfung mit dem Registrierungseditor:
regedit ein und drücken Sie die Eingabetaste.Das Fenster Registry Editor wird geöffnet.
18 (dezimal) oder 0x12 (hex). Empfohlener Verschlüsselungstyp.17 (dezimal) oder 0x11 (hex).23 (dezimal) oder 0x17 (hex).So überschreiben Sie den standardmäßigen Verschlüsselungstyp der vorläufigen Authentizitätsprüfung mit Powershell:
Führen Sie auf jedem Active Directory-Domänencontroller den folgenden Befehl aus:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18