加密算法设置错误导致Microsoft AD域账号无法通过身份认证

发布时间:  2013-01-15 浏览次数:  167 下载次数:  0
问题描述
TSM与Microsoft AD域控制器联动。安装Microsoft AD域控制器的操作系统为Microsoft Windows Server 2008。安装TSM代理的终端主机操作系统为Microsoft Windows 7。终端用户使用Microsoft AD域账号登录终端主机的操作系统,并在TSM代理选择“AD域账号”进行身份认证,Microsoft AD域账号无法通过身份认证。
告警信息
N/A
处理过程
请按照本文介绍的认证账号创建操作正确创建认证账号。认证账号创建成功后,请保持默认的加密算法,即确保认证账号的“msDS-SupportedEncryptionTypes”属性值为“not set”。界面显示如图1--1所示。

图1-1 认证账号默认的加密算法





对于Microsoft Windows 7操作系统的加密算法设置错误,请按照以下操作修改。

1.         使用“Administrator”账号登录Microsoft Windows 7。

2.         打开“运行”窗口。

3.         在“运行”窗口中输入gpedit.msc,单击“确定”。

界面显示“本地组策略编辑器”窗口。

4.         展开左侧导航树,依次选择“计算机配置 > Windows设置 > 安全设置 > 本地策略 > 安全选项”。

5.         在右侧窗口右键单击“网络安全:配置Kerberos 允许的加密类型”,选择“属性”。

6.         在“本地安全设置”页签取消选中“AES128_HMAC_SHA1”和“AES256_HMAC_SHA1”。

界面显示如图1--2所示。

图1-2 取消选中“AES128_HMAC_SHA1”和“AES256_HMAC_SHA1”



7.         单击“确定”。

8.         关闭“本地组策略编辑器”窗口,重新进行认证。

根因
导致出现该问题的原因是:认证账号的加密算法设置错误,或者Microsoft Windows 7操作系统的加密算法设置错误。

建议与总结
N/A

END