Pour se connecter à un compte LDAP, un client demande un ticket de service (ticket TGS) au centre de distribution de clés Kerberos V5 (ci-après également « KDC ») et spécifie les algorithmes de chiffrement pris en charge. Le KDC choisit l'algorithme de chiffrement à utiliser. La valeur que vous sélectionnez détermine le type de chiffrement par défaut lors de la phase de pré-authentification.
Des informations plus détaillées sont disponibles dans la documentation Microsoft à l'aide des liens suivants : Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.
Pour remplacer le type de chiffrement de pré-authentification par défaut à l'aide de l'éditeur du registre :
regedit
dans la fenêtre ouverte et cliquez sur Enter.La fenêtre Registry Editor s'ouvre.
18
(valeur décimale) ou 0x12
(valeur hexadécimale). Type de chiffrement recommandé.17
(valeur décimale) ou 0x11 (
valeur hexadécimale)
.23
(valeur décimale) ou 0x17
(valeur hexadécimale).Pour remplacer le type de chiffrement de pré-authentification par défaut à l'aide de PowerShell,
Sur chaque contrôleur de domaine Active Directory, exécutez la commande :
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18