配置 Kerberos 預先驗證的加密類型
配置 Kerberos 預先驗證的加密類型
2024年5月23日
ID 272730
若要連線到 LDAP 使用者帳戶,用戶端將從 Kerberos V5 金鑰分發中心(KDC)取得服務工單(TGS 工單)並指定受支援的加密演算法。KDC 會選擇要使用的加密演算法。所選值決定了預先身分驗證步驟中使用的預設加密類型。
有關詳細資訊,請參閱 Microsoft 文件:網路安全:配置 Kerberos 允許的加密類型, Windows 中的 Kerberos 協定登錄檔項目和 KDC 配置金鑰。
若要使用登錄檔編輯程式覆寫預設的預先驗證加密類型:
- 在 Active Directory 網域控制站上,按下 Win + R,在顯示的視窗中輸入
regedit
,然後按 Enter。這將開啟“登錄檔編輯器”視窗。
- 導覽至以下鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters。
- 對於Parameters鍵,使用下列值之一建立名為DefaultEncryptionType的新DWORD(32 位元)值:
- 對於 AES 加密演算法:
- aes256-cts-hmac-sha1-96:
18
(十進位)或0x12
(十六進位)。推薦的加密類型。 - aes128-cts-hmac-sha1-96:
17
(十進位)或0x11(
十六進位)
。
- aes256-cts-hmac-sha1-96:
- 對於 RC4 加密,它是
23
(十進位)或0x17
(十六進位)。
- 對於 AES 加密演算法:
- 在每個 Active Directory 網域控制器上重複步驟 1 到 3。
若要使用 PowerShell 覆寫預設的預先驗證加密類型:
在每個 Active Directory 網域控制器上,執行下列命令:
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。