locked
Win2003 /2008R2 使用同樣的參數建立Kerberos證書 結果大不同 RRS feed

  • 問題

  • 各位前輩好

           小弟因為工作關係要測試其他公司的產品,其中有一項是要設定使用者驗證以Kerberos 來進行驗證,其中一個動作是要先建立一個使用者然後利用ktpass.exe來設定對應與產生證書金鑰。小弟設定環境如下

    網域:test.com.tw

    測試主機:zcm.test.com.tw

    對應使用者帳號samaccountname: zcm(另外建立時姓氏使用zcm,名字不設定)==>也就是使其CN與sAMAccountName都是叫做zcm

    密碼:P@ssw0rd

    小弟使用相同參數在Win2003與Win2008R2的AD環境下結果大不同(2008R2出現問題)

    WARNING: pType and account type do not match. This might cause problems.

    請問有無先進可以指導小弟該加上怎樣的參數取修正它 ??

    以下小弟將執行結果post於下

    [2003]

    C:\tools>ktpass.exe /princ host/zcm.test.com.tw@TEST.COM.TW -pass P@ssw0rd -mapuser zcm -out c:\zcm.keytab
    Targeting domain controller: win2003.test.com.tw
    Successfully mapped host/zcm.test.com.tw to zcm.
    Key created.
    Output keytab to c:\zcm.keytab:
    Keytab version: 0x502
    keysize 59 host/zcm.test.com.tw@TEST.COM.TW ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0xa7cd582cdac76416)
    Account zcm has been set for DES-only encryption.

    [Win2008R2]

    C:\Users\Administrator>ktpass.exe /princ host/zcm.test.com.tw@TEST.COM.TW -pass P@ssw0rd -mapuser zcm -out c:\zcm.keytab
    Targeting domain controller: TestDC.test.com.tw
    Using legacy password setting method
    Successfully mapped host/zcm.test.com.tw to zcm.
    WARNING: pType and account type do not match. This might cause problems.
    Key created.
    Output keytab to c:\zcm.keytab:
    Keytab version: 0x502
    keysize 67 host/zcm.test.com.tw@TEST.COM.TW ptype 0 (KRB5_NT_UNKNOWN) vno 3 etype 0x17 (RC4-HMAC) keylength 16 (0xe19ccf75ee54e06b06a5907af13cef42)


    wyldkao

    2012年4月3日 上午 02:07

所有回覆