Windows Vista 和 Windows 7 跨领域身份验证 MIT Kerberos

Windows Vista 和 Windows 7 跨领域身份验证 MIT Kerberos

我使用 Windows Server 2008 和 Windows Vista 和 7 进行跨领域身份验证,使用 MIT Kerberos 1.6,但是当我尝试以用户身份登录时,KDC 回答:

(wireshark 输出)

错误代码:KRB5KDC_ERR_ETYPE_NOSUPP (14) ... 电子文本:BAD_ENCRYPTION_TYPE

我想知道如何更改加密类型方法以与 KDC 兼容(我尝试过 XP 客户端并且运行良好)。

非常感谢!

答案1

来自 Windows 7 技术库:Kerberos 身份验证的变化

最有可能的是,您的 Kerberos 服务器需要 DES 加密,而 Windows 7 中默认禁用了该加密。它主要被 AES 取代。链接的文章包含通过组策略重新启用 DES 加密的说明。这相当简单。但您应该考虑升级您的 Kerberos 配置以支持 AES。

答案2

哪一方返回了错误的加密错误?是 Windows 7 客户端还是服务器?

另外,是否可以尝试Kerberos 1.7? 它是大约一个月前由麻省理工学院发布的,它有一些新的可配置加密设置,用于禁用弱加密。

相关内容