我正在C#中编写与AD相关的应用程序。
执行以下操作时,
DirectoryContext context = new DirectoryContext(DirectoryContextType.Domain, "Domain.com");
Domain domain = Domain.GetDomain(context);
域控制器上的Kerberos服务票证日志显示“票证加密”'键入0x17,即RC4。域和林功能级别位于Windows Server 2012中。
我使用WireShark来获取一些细节。 TGS请求数据包显示AES256,AES128,RC4,DES作为支持的加密类型。 TGS回复数据包显示故障单的加密类型为RC4。
如果我将组策略设置为将使用限制为AES 128和256,则答复将为AES 256。
我的问题:如果请求数据包显示它支持AES 256,那么答复是否应该是相同的,即最安全的加密? 这是一个已知问题还是我错过了什么?
PS如果它有任何区别,我在项目设置中使用.net Framework 4.0,4.5,4.6尝试了这个应用程序。 RC4用于所有这些。
感谢您的帮助!
答案 0 :(得分:1)
TGS的回复将具有共享密钥中指定的最安全的加密类型(域控制器知道它添加到服务/服务器的密钥表中的加密类型)。