Verschlüsselungstyp der vorläufigen Authentizitätsprüfung für die Kerberos-Authentifizierung konfigurieren
23. Mai 2024
ID 272730
Um eine Verbindung mit einem LDAP-Konto herzustellen, fordert der Client ein Serviceticket (TGS-Ticket) vom Kerberos V5 Key Distribution Center (auch "KDC") an und bestimmt die unterstützten Verschlüsselungsalgorithmen. Das KDC wählt den zu verwendenden Verschlüsselungsalgorithmus aus. Der von Ihnen ausgewählte Wert bestimmt den Standardverschlüsselungstyp während der vorläufigen Authentizitätsprüfung.
Ausführlichere Informationen finden Sie in der Microsoft-Dokumentation unter folgenden Links: Network security: Configure encryption types allowed for Kerberos, Kerberos-Protokollregistrierungseinträge und KDC-Konfigurationsschlüssel in Windows.
So überschreiben Sie den standardmäßigen Verschlüsselungstyp der vorläufigen Authentizitätsprüfung mit dem Registrierungseditor:
- Drücken Sie auf dem Active Directory-Domänencontroller die Tastenkombination Win+R, geben Sie im neuen Fenster
regedit
ein und drücken Sie die Eingabetaste.Das Fenster Registry Editor wird geöffnet.
- Navigieren Sie zu folgendem Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
- Erstellen Sie für den Schlüssel Parameters einen neuen Parameter des Typs DWORD (32-bit) value mit dem Namen DefaultEncryptionType und mit einem der unten aufgeführten Werte:
- Für den AES-Verschlüsselungsalgorithmus:
- aes256-cts-hmac-sha1-96:
18
(dezimal) oder0x12
(hex). Empfohlener Verschlüsselungstyp. - aes128-cts-hmac-sha1-96:
17
(dezimal) oder0x11 (
hex)
.
- aes256-cts-hmac-sha1-96:
- Für den RC4-Verschlüsselungsalgorithmus:
23
(dezimal) oder0x17
(hex).
- Für den AES-Verschlüsselungsalgorithmus:
- Wiederholen Sie die Schritte 1–3 für jeden Active Directory-Domänencontroller.
So überschreiben Sie den standardmäßigen Verschlüsselungstyp der vorläufigen Authentizitätsprüfung mit Powershell:
Führen Sie auf jedem Active Directory-Domänencontroller den folgenden Befehl aus:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18