在活动目录中创建用户帐户时,使用 DHCP/FQDN 格式的用户登录名属性会自动将服务主体名称映射到正在创建的用户帐户。
但是,如果未使用正确的服务主体名称格式,则需要将服务主体名称映射到手动创建的帐户。
ktpass 命令在活动目录中配置主机或 DHCP 服务的服务主体名称,并生成包含服务的共享密钥的 .keytab 文件。如果运行 ktpass 命令以映射服务主体,请记下 ktpass 命令输出中的 vno 值。稍后将在定义 DHCP 服务主体中使用此值。
要通过运行 ktpass 命令映射服务主体名称:
- 执行以下 ktpass 命令以在 DHCP 服务器和 Windows 用户之间创建映射,以便访问 Kerberos 数据库。
C:\> ktpass -princ DHCP/dhcp1.bcn.com@BCN.COM -mapuser adonis_dhcp1@BCN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES128-SHA1 -pass password -out dhcp1.bcn.com.keytab
- -princ — user@REALM 形式的主体名称
- -mapuser — 将主体名称映射到本地用户帐户
- -ptype — 使用中的主体类型
- -crypto — 设置要使用的加密类型
- -pass — 本地用户帐户的密码(当提示输入密码时,输入用于在 Windows 中创建 Kerberos 用户的密码)
- -out — 生成的密钥表文件的名称注:
- 每运行一次 ktpass 命令,vno 值增加 1。
- Windows 2008 R2 附带 ktpass。如果运行 Windows 2003,则必须从 Microsoft 下载 ktpass。
C:\> ktpass -princ DHCP/dhcp1.bcn.com@BCN.COM -mapuser adonis_dhcp1@BCN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES128-SHA1 -pass password -out dhcp1.bcn.com.keytab
Targeting domain controller: windows-dc.bcn.com
Using legacy password setting method
Successfully mapped DHCP/dhcp1.bcn.com to dhcp1.
Key created.
Output keytab to dhcp1.bcn.com.keytab
Keytab version:0x502
keysize 81 DHCP/dhcp1.bcn.com@BCN.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype 0x12
(AES128-SHA1) keylength 32
(0x6066ebbc640cc11b44cc41fdb4a53300bad69f9f3681e02faf512fbab7f202a0)