Kerberos 事前認証の暗号化タイプの設定

LDAP ユーザーアカウントに接続するために、クライアントはKerberos V5 Key Distribution Center（KDC）からサービスチケット（TGS チケット）を要求し、サポートされている暗号化アルゴリズムを指定します。KDC が使用する暗号化アルゴリズムを選択します。選択した値によって、事前認証ステップで使用される既定の暗号化タイプが決まります。

詳細は、Microsoft のドキュメントを参照してください：『Network security: Configure encryption types allowed for Kerberos』『 Windows の Kerberos プロトコル レジストリ エントリと KDC 構成キー』。

レジストリエディターを使用して既定の認証前暗号化の種類を上書きするには：

1. Active Directory ドメインコントローラーで、 Win + R を押し、テキストボックスに「regedit」と入力して、 Enter を押します。

   これにより、［レジストリエディター］ウィンドウが開きます。

2. 次のキーに移動します：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
3. ［Parameters］キーについては、次のいずれかの値を使用して、 「DefaultEncryptionType」という名前の新しい DWORD（32 ビット）値を作成します。
   • AES 暗号化アルゴリズムの場合：
     • aes256-cts-hmac-sha1-96: 18（10 進数）または 0x12（16 進数）。推奨される暗号化タイプ。
     • aes128-cts-hmac-sha1-96: 17（10 進数）または 0x11（16 進数）。
   • RC4 暗号化の場合、 23（10 進数）または 0x17（16 進数）です。
4. 各 Active Directory ドメインコントローラーで手順 1 ～ 3 を繰り返します。

PowerShell を使用して既定の事前認証暗号化の種類を上書きするには：

各 Active Directory ドメインコントローラーで、次のコマンドを実行します：

New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters' -Name DefaultEncryptionType –Value 18