none
msDS-SupportedEncryptionTypes RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    wir betreiben eine Domäne mit zwei DC Windows 2008 R2. Um die fehlerfreie Kommunikation mit allen Systemen im Netz zu gewährleisten, habe ich eine GPO erstellt, um die AES EncryptionTypes auszuschliessen.

    RSoP bestätigt, dass die GPO auf Domänenebene greift.

    Das Problem ist, dass beide DCs trotz GPO das AD Attribut "msDS-SupportedEncryptionTypes" auf "31" gesetzt haben, sprich alle EncryptionTypes supported werden. das hat zur Folge, dass ich mich z.B. nicht an einem der DCs anmelden kann.

    Wenn ich den Wert des Attributes per Hand zurücksetze, wird nach einigen Minuten NICHT etwa die Einstellung der GPO gesetzt ("28"), SONDERN wieder alle EncryptionTypes ("31").

    Hat dazu jemand eine Idee?

    Vielen Dank

    Marc


    Dienstag, 8. November 2011 10:15

Alle Antworten

  • > Wenn ich den Wert des Attributes per Hand zurücksetze, wird nach einigen
    > Minuten NICHT etwa die Einstellung der GPO gesetzt ("28"), SONDERN
    > wieder alle EncryptionTypes ("31").
     
    Zyklischer GPUpdate alle 5 Minuten... Mach nen RSOP und schau, aus
    welcher GPO das Setting kommt.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Dienstag, 8. November 2011 16:21
  • Hallo Martin,

    danke für Deinen Tipp.

    Aber wie schon geschrieben, sehe ich mit RsoP keine GPO, die diese Einträge setzt.

    Wenn ich meine GPO deaktiviere werden die Standardwerte gesetzt, nämlich alle Etypes. Leider kann ich mich an dem zweiten DC dann trotzdem nicht anmelden, keine Replikation etc. Erst nach löschen der Werte des Attributs ist für ein paar Minuten eine Kommunikation möglich.

    Gibt es dazu iregndwelche Registrywerte, die man setzen kann?

    Danke und Gruß

    Marc

    Mittwoch, 9. November 2011 07:24
  • Vielleicht hilft dir der folgende Artikel etwas weiter:

    http://blogs.technet.com/b/deds/archive/2009/11/04/kerberos-encryption-types-unter-windows-7-und-windows-server-2008-r2.aspx

    ciao, ralf


    Ralf Wigand, MVP Windows Server:Directory Services
    Mittwoch, 9. November 2011 07:55
  • Hallo,

    hast Du den Artikel von Ralf gelesen? Hat es weitergeholfen?

    Gruss,
    Raul

    Montag, 14. November 2011 15:07