在 GUI 中(Active Directory 域和信任MMC Snap-in(domain.msc
))中,您可以设置“其他域支持 Kerberos AES 加密”设置以建立信任关系:
我正在寻找一种以编程方式设置此设置的方法。我已经查看了Install-ADDSDomain
PowerShell cmdlet 以及netdom TRUST
工具,但两者似乎都没有包含设置Kerberos AES 加密环境。
有人能告诉我如何以编程方式设置此设置吗?
答案1
这可以通过ksetup
:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
也可以看看本文档。请注意在哪个域中执行此命令。您只能使用它来设置加密类型其他领域。因此,如果您在 DC 上child.contoso.com
,您可以发出:
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
如果您在 DC 上contoso.com
,您可以发出:
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
其他组合则不可能发生,并且您可能会面临以下问题: