Para conectarse a una cuenta de usuario LDAP, el cliente debe obtener un ticket de servicio (ticket TGS) del Centro de distribución de claves Kerberos V5 (KDC) y especificar los algoritmos de cifrados compatibles. El KDC selecciona qué algoritmo de cifrado usar. El valor seleccionado determina el tipo de cifrado predeterminado que se usa en el paso de autenticación previa.
Para obtener más información, consulte la documentación de Microsoft: Network security: Configure encryption types allowed for Kerberos, Kerberos protocol registry entries and KDC configuration keys in Windows.
Para anular el tipo de cifrado de autenticación previa predeterminado mediante el editor de registro:
regedit
en el cuadro de texto y presione Intro.Esto abre la ventana Registry Editor.
18
(decimal) o 0x12
(hexadecimal). Tipo de cifrado recomendado.17
(decimal) o 0x11 (
hexadecimal)
.23
(decimal) o 0x17
(hexadecimal).Para anular el tipo de cifrado de autenticación previa predeterminado con PowerShell:
En cada controlador de dominio de Active Directory, ejecute el siguiente comando:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18