配置 Kerberos 預先驗證的加密類型

若要連線到 LDAP 使用者帳戶，用戶端將從 Kerberos V5 金鑰分發中心 (KDC) 取得服務工單（TGS 工單）並指定受支援的加密演算法。KDC 會選擇要使用的加密演算法。所選值決定了預先身分驗證步驟中使用的預設加密類型。

有關詳細資訊，請參閱 Microsoft 文件：網路安全：配置 Kerberos 允許的加密類型， Windows 中的 Kerberos 協定登錄檔項目和 KDC 配置金鑰。

若要使用登錄檔編輯程式覆寫預設的預先驗證加密類型：

1. 在 Active Directory 網域控制站上，按下 Win + R，在顯示的視窗中輸入 regedit，然後按 Enter。

   這將開啟“登錄檔編輯器”視窗。

2. 導覽至以下鍵：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
3. 對於Parameters鍵，使用下列值之一建立名為DefaultEncryptionType的新DWORD（32 位元）值：
   • 對於 AES 加密演算法：
     • aes256-cts-hmac-sha1-96： 18 （十進位）或0x12 （十六進位）。推薦的加密類型。
     • aes128-cts-hmac-sha1-96： 17 （十進位）或0x11（十六進位）。
   • 對於 RC4 加密，它是 23（十進位）或 0x17（十六進位）。
4. 在每個 Active Directory 網域控制器上重複步驟 1 到 3。

若要使用 PowerShell 覆寫預設的預先驗證加密類型：

在每個 Active Directory 網域控制器上，執行下列命令：

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18

頁面頂端