Active Directory 사용자 계정이 Kerberos AES 인증을 자동으로 지원하지 않는 이유는 무엇입니까? 문제가 없습니다. 그러나

Windows Server 2012 R2에서 테스트 도메인을 가지고 놀고 있습니다. 가능한 최고 수준의 기능 수준에서 작동하고 있으며 소규모 테스트 환경에서는 이전 버전과의 호환성 문제가 없습니다. 그러나 Kerberos AES 인증을 지원 한다는 사실에도 불구하고 기본적으로 모든 사용자에 대해 활성화되어 있지 않습니다. 실제로 사용자 속성으로 이동하여 “이 계정은 Kerberos AES 128 비트 암호화를 지원합니다”및 / 또는 “이 계정은 Kerberos AES 256 비트 암호화를 지원합니다”를 선택해야합니다.

(AES를 요구하도록 정책을 설정하는 “보호 된 사용자”그룹에 테스트 계정을 추가 할 때이 사실을 처음으로 깨달았습니다. 그 후 모든 네트워크 로그인이 해당 상자를 체크 할 때까지 실패했습니다.)

일부 시스템에서는 이전 버전과의 호환성을 보장하기 위해 이것이 기본적으로 비활성화되어있을 수 있지만 모든 사용자에 대해이를 활성화하는 방법을 찾을 수 없거나 현재 동작에 대한 설명조차 찾을 수 없습니다.

어떤 아이디어?



답변

사용자의 Kerberos AES 확인란을 선택하면 Vista 이전 클라이언트에서 인증이 실패합니다. 이것이 기본적으로 설정되지 않은 이유 일 수 있습니다.

Kerberos AES 지원 확인란은이라는 속성에 설정된 값에 해당합니다. msDS-SupportedEncryptionTypes

둘 이상의 사용자에 대해이를 변경하기 위해 PowerShell 및 ActiveDirectory 모듈을 사용할 수 있습니다.

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}


답변