LDAP ユーザーアカウントに接続するために、クライアントはKerberos V5 Key Distribution Center(KDC)からサービスチケット(TGS チケット)を要求し、サポートされている暗号化アルゴリズムを指定します。KDC が使用する暗号化アルゴリズムを選択します。選択した値によって、事前認証ステップで使用される既定の暗号化タイプが決まります。
詳細は、Microsoft のドキュメントを参照してください:『Network security: Configure encryption types allowed for Kerberos』『 Windows の Kerberos プロトコル レジストリ エントリと KDC 構成キー』。
レジストリエディターを使用して既定の認証前暗号化の種類を上書きするには:
regedit」と入力して、 Enter を押します。これにより、[レジストリエディター]ウィンドウが開きます。
18(10 進数)または 0x12(16 進数)。推奨される暗号化タイプ。17(10 進数)または 0x11(16 進数)。23(10 進数)または 0x17(16 進数)です。PowerShell を使用して既定の事前認証暗号化の種類を上書きするには:
各 Active Directory ドメインコントローラーで、次のコマンドを実行します:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18