Teilen über

klist zeigt keine Infos

Anonym
2025-01-31T10:54:58+00:00

Hallo,

ich habe hier in meiner Infrastruktur ein seltsames Problem. User die seit langer Zeit existieren >10 Jahre. Zeigen folgende Fehlermeldung bei einem Klist

das Attribut msDS-SupportedEncryptionType ist leer, somit sollte meiner Meinung nach erstmal alles erlaubt sein. User die früher erstellt wurden haben dieses Problem nicht, auch deren msDS-SupportedEncryptionType ist leer. Passworte werden regelmäßig geändert.Ich schreibe auch via GPO keine bestimmten Verschlüsselungstypen vor.

Ich bin gerade etwas ratlos.

Windows Server – Identität und Zugriff – Active Directory

Gesperrte Frage. Diese Frage wurde aus der Microsoft Support Community migriert. Sie können darüber abstimmen, ob sie hilfreich ist, aber Sie können keine Kommentare oder Antworten hinzufügen oder der Frage folgen. Um den Datenschutz zu schützen, werden Benutzerprofile für migrierte Fragen anonymisiert.

0 Kommentare

5 Antworten

Sortieren nach: Sehr hilfreich
Sehr hilfreich Aktuellste Älteste
  1. Anonym
    2025-01-31T12:21:34+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo Andreas Ernst,

    Vielen Dank für Ihren Beitrag im Microsoft Community-Forum.

    Für den ersten Befehl kann ich das Ergebnis unten sehen.

    Was ist der zweite Befehl, den Sie ausgeführt haben?

    Und was ist das Ergebnis des zweiten Befehls? Bitte übersetzen Sie das Ergebnis in die englische Sprache.

    Wenn Sie Fragen oder Bedenken haben, können Sie uns dies gerne mitteilen.

    Alles Gute

    Gänseblümchen Zhou

    0 Kommentare
  2. Anonym
    2025-01-31T14:08:53+00:00

    Hallo,

    its cifs/Fileserver.domain@domain

    the message tells me

    the requested encrypption type isnt supported by the kerberos domaincontroller.

    But the DC hasnt set any prefered encryption types.

    0 Kommentare
  3. Anonym
    2025-02-03T08:06:06+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo

    Grüße!

    Diese Fehlermeldung deutet darauf hin, dass die vom Kerberos-Client unterstützten Verschlüsselungstypen nicht mit den vom Domänencontroller unterstützten Verschlüsselungstypen kompatibel sind. So können Sie dieses Problem beheben:

    1. Überprüfen Sie die für Kerberos konfigurierten Verschlüsselungstypen:

    Kerberos unterstützt mehrere Verschlüsselungstypen, z. B. DES, RC4, AES128 und AES256. Stellen Sie sicher, dass sowohl der Client als auch der Domänencontroller für die Verwendung kompatibler Verschlüsselungstypen konfiguriert sind.

    1. Aktualisieren Sie die Konfiguration des Domänencontrollers:

    Stellen Sie sicher, dass der Domänencontroller so konfiguriert ist, dass er die erforderlichen Verschlüsselungstypen unterstützt. Dies kann über Gruppenrichtlinien oder direkt auf dem Domänencontroller verwaltet werden.

    1. Überprüfen Sie die Kompatibilität des Domänencontrollers:

    Stellen Sie sicher, dass auf Ihrem Domänencontroller eine Betriebssystemversion ausgeführt wird, die die erforderlichen Verschlüsselungstypen unterstützt. Ältere Versionen von Windows Server unterstützen z. B. neuere Verschlüsselungstypen möglicherweise nicht standardmäßig.

    1. Suchen Sie nach relevanten Updates und Patches:

    Stellen Sie sicher, dass sowohl auf dem Client als auch auf dem Domänencontroller die neuesten Updates und Patches angewendet wurden, da diese möglicherweise Korrekturen für Kompatibilitätsprobleme mit der Verschlüsselung enthalten.

    Um den Verschlüsselungstyp zu konfigurieren, können wir ihn über die Gruppenrichtlinie oder die Registrierung unten festlegen.

    1. Gruppenrichtlinie
      Konfigurieren Sie den Richtlinienwert für Computerkonfiguration >> Windows-Einstellungen >> Sicherheitseinstellungen >> Lokale Richtlinien >> Sicherheitsoptionen >> "Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren" bei einigen Verschlüsselungstypen auf "Aktiviert".

    2.Verschlüsselungstyp in den Computereigenschaften: msDS-SupportedEncryptionTypes-Attribut für die Computerobjekte.

    3.StandardEncryptionType

    Vor Windows 7 und Windows 2008: RC4, DES
    Windows 7 und Windows 2008 oder höher: AES, RC4, DES

    4.Registrierung: KdcUseRequestedEtypesForTickets

     HKLM\SYSTEM\CurrentControlSet\Services\Kdc

    Wenn Sie Fragen oder Bedenken haben, können Sie uns dies gerne mitteilen.

    Alles Gute
    Gänseblümchen Zhou

    0 Kommentare
  4. Anonym
    2025-02-03T16:11:17+00:00

    Hallo,

    die supported encryption types habe ich nicht konfiguriert.

    An meinen Clients schreibe ich AES128 und AES 256 vor. -> msDS-SupportedEncryptionTypes = 24

    An meinen DCs ist das setting nicht konfiguriert.

    Ich möchte meine Clients Stück für Stück migrieren und dabei nur noch die AES Kerberos Typen erlauben, möchte Sie aber nicht "global" auf dem DC verbieten um Anwendungen die eventuell noch schwache Keys nutzen nicht zu beeinflussen.

    Das Problem das ich nicht verstehe ist, warum scheint es an alten Usern zu hängen. Ein neu erstellter Anwender kann sich an der Applikation anmelden, ein alter User bekommt einen Fehler.

    Viele Grüße

    Andreas

    0 Kommentare
  5. Anonym
    2025-02-04T08:15:24+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo

    Grüße!

    Meinen Sie, dass neue Benutzer auf demselben Domänencomputer keine Probleme haben. Alte Benutzer haben ein Problem?

    Wenn ja, können Sie überprüfen, ob es einen Unterschied zwischen dem alten Benutzer (problematischer Benutzer) und dem neuen Benutzer gibt, überprüfen Sie die Benutzereigenschaften\Registerkarte Konto\Kontooptionen.

    Alles Gute
    Gänseblümchen Zhou

    0 Kommentare