配置 Kerberos 预身份验证的加密类型

要连接到 LDAP 用户账户，客户端将从 Kerberos V5 密钥分发中心 (KDC) 获取服务工单（TGS 工单）并指定受支持的加密算法。KDC 会选择要使用的加密算法。所选值决定了预身份验证步骤中使用的默认加密类型。

有关详细信息，请参阅 Microsoft 文档：网络安全：配置 Kerberos 允许的加密类型，Windows 中的 Kerberos 协议注册表项和 KDC 配置密钥。

要使用注册表编辑器覆盖默认的预身份验证加密类型：

1. 在 Active Directory 域控制器上，按 Win+R，在显示的窗口中输入 regedit，然后按 Enter。

   这将打开“注册表编辑器”窗口。

2. 导航到以下键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
3. 对于 Parameters 键，使用以下值之一创建一个名为 DefaultEncryptionType 的新 DWORD（32位）值：
   • 对于 AES 加密算法：
     • aes256-cts-hmac-sha1-96：18（十进制）或 0x12（十六进制）。推荐的加密类型。
     • aes128-cts-hmac-sha1-96：17（十进制）或 0x11（十六进制）。
   • 对于 RC4 加密，它是 23（十进制）或 0x17（十六进制）。
4. 在每个 Active Directory 域控制器上重复步骤 1 到 3。

要使用 PowerShell 覆盖默认的预身份验证加密类型：

在每个 Active Directory 域控制器上，运行以下命令：

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18

页面顶部