Das Erstellen der keytab-Datei

Erstellt wird die Keytab-Datei entweder auf dem Server des Domänencontrollers oder auf einem in der Windows-Domäne befindlichen Computer mit Windows Server unter Verwendung eines Benutzerkontos mit der Berechtigung des Domänenadministrators.

So erstellen Sie eine keytab-Datei:

1. Erstellen Sie im Snap-In Active Directory Users and Computers ein separates Benutzerkonto, das für die Verbindung des Programms an den LDAP-Server (z. B., unter dem Namen kwts-ldap) verwendet wird.

   Bei der Erstellung des Benutzers muss die Option Password never expires gewählt werden.

2. Um den Verschlüsselungsalgorithmus AES256-SHA1 nutzen zu können, aktivieren Sie im Snap-In Active Directory Users and Computers auf der Registerkarte Account in den Eigenschaften des erstellten Benutzerkontos das Kontrollkästchen This account supports Kerberos AES 256 bit encryption.
3. Erstellen Sie eine keytab-Datei für den Benutzer kwts-ldap mithilfe des Programms ktpass. Führen Sie dazu in der Befehlszeile den folgenden Befehl aus:

   C:\Windows\system32\ktpass.exe -princ kwts-ldap@<realm Domänenname Active Directory in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <Benutzerkennwort kwts-ldap> -out <Dateipfad\Dateiname>.keytab

   Sie können das Symbol * als Wert für den Parameter -pass benutzen, um kein Passwort im Befehltext angeben zu müssen. In diesem Fall wird das Passwort vom Dienstprogramm während der Programmausführung abgefragt.

   Beispiel: C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

Die keytab-Datei wird erstellt. Im Falle einer Änderung des Kennworts für den Account muss eine neue keytab-Datei generiert werden.