Windows
如何以程式方式設置“其他域支持 Kerberos AES 加密”設置?
在 GUI(Active Directory 域和信任MMC 管理單元 (
domain.msc
))中,您可以為信任關係設置“其他域支持 Kerberos AES 加密”設置:我正在尋找一種以程式方式設置此設置的方法。我已經查看了
Install-ADDSDomain
PowerShell cmdlet 以及該netdom TRUST
工具,但兩者似乎都不包含設置Kerberos AES 加密設置的選項。有人可以告訴我,如何以程式方式設置此設置?
這可以通過以下方式完成
ksetup
:ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
另請參閱本文件。請注意您在哪里為哪個域執行此命令。您只能使用它來設置其他域的加密類型。因此,如果您在 的 DC 上
child.contoso.com
,您可以發出:ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
如果您在 的 DC 上
contoso.com
,您可以發出:ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
其他組合是不可能的,您可能會遇到以下問題: