ນີ້ແມ່ນຄໍາສັ່ງ msktutil ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
msktutil - ດຶງຂໍ້ມູນ ແລະຈັດການປຸ່ມ kerberos ໃນສະພາບແວດລ້ອມ Active Directory
ສະຫຼຸບສັງລວມ
msktutil [ຄໍາສັ່ງ 1] [ຄໍາສັ່ງ 2] [ຄໍາສັ່ງ 3] ...
ລາຍລະອຽດ
msktutil ເປັນລູກຂ່າຍຄີແທັບ Unix/Linux ສໍາລັບສະພາບແວດລ້ອມ Microsoft Active Directory. ນີ້
ໂຄງການແມ່ນສາມາດສ້າງບັນຊີໃນ Active Directory, ເພີ່ມອໍານວຍການບໍລິການໃຫ້
ບັນຊີເຫຼົ່ານັ້ນ, ແລະການສ້າງໄຟລ໌ keytab ທ້ອງຖິ່ນເພື່ອໃຫ້ບໍລິການ kerberizied ສາມາດນໍາໃຊ້
ໄດເລກະທໍລີທີ່ໃຊ້ວຽກເປັນພື້ນທີ່ Kerberos. msktutil ຈະສ້າງແລະຈັດການບັນຊີເຄື່ອງຈັກໂດຍ
ຄ່າເລີ່ມຕົ້ນ. ທາງເລືອກ --use-service-account ອະນຸຍາດໃຫ້ msktutil ດໍາເນີນການໃນບັນຊີການບໍລິການ.
msktutil ຮຽກຮ້ອງໃຫ້ຫ້ອງສະໝຸດລູກຄ້າ Kerberos ຖືກຕິດຕັ້ງ ແລະກຳນົດຄ່າຢ່າງຖືກຕ້ອງ
ການນໍາໃຊ້ Active Directory ເປັນ realm.
ເມື່ອໃດກໍໄດ້ເພີ່ມເງິນຫຼັກ ຫຼືແທັບປຸ່ມຖືກອັບເດດ, ລະຫັດຜ່ານລັບສຳລັບ
ບັນຊີທີ່ສອດຄ້ອງກັນມີການປ່ຽນແປງ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ລະຫັດຜ່ານບໍ່ໄດ້ເກັບຮັກສາໄວ້, ສະນັ້ນມັນຈໍາເປັນຕ້ອງໄດ້
ຈະຖືກຕັ້ງຄືນໃຫມ່ໃນແຕ່ລະຄັ້ງ msktutil ຖືກປະຕິບັດ. ລາຍການທັງໝົດໃນແຖບປຸ່ມຈະອັດຕະໂນມັດ
ອັບເດດທຸກຄັ້ງທີ່ລະຫັດຜ່ານຖືກຣີເຊັດ. ລາຍການທີ່ຜ່ານມາຈະຖືກປະໄວ້ຢູ່ໃນແຖບປຸ່ມ,
ສະນັ້ນ ເຊດຊັນທີ່ໃຊ້ເວີຊັນຫຼັກທີ່ເກົ່າກວ່າຈະບໍ່ແຕກ. ພຶດຕິກໍານີ້ແມ່ນຄ້າຍຄືກັນກັບ
ວິທີທີ່ Windows hosts ຈັດການການປ່ຽນແປງລະຫັດຜ່ານຂອງເຄື່ອງຈັກ.
ຄວາມຕ້ອງການ
ມີສອງວິທີການທົ່ວໄປຂອງການນໍາໃຊ້ໂຄງການນີ້. ທໍາອິດແມ່ນເພື່ອ "kinit" ກັບ
ຂໍ້ມູນປະຈຳຕົວຄືກັບຜູ້ເບິ່ງແຍງລະບົບທີ່ມີສິດອະນຸຍາດໃນການສ້າງວັດຖຸຄອມພິວເຕີຢູ່ໃນເຄື່ອງຂອງທ່ານ
ເຊີບເວີ Active Directory. ຖ້າຫາກວ່າທ່ານຮຽກຮ້ອງໃຫ້ໂຄງການທີ່ມີໃບຢັ້ງຢືນດັ່ງກ່າວ, ທ່ານສາມາດສ້າງ
ບັນຊີຄອມພິວເຕີໃໝ່ ຫຼືບັນຊີບໍລິການຕັ້ງແຕ່ເລີ່ມຕົ້ນ.
ອັນທີສອງແມ່ນເພື່ອສ້າງບັນຊີໄວ້ກ່ອນດ້ວຍຂໍ້ມູນປະຈໍາຕົວດັ່ງກ່າວ, ແລະຫຼັງຈາກນັ້ນຮຽກຮ້ອງໃຫ້ msktutil
ໃນເຄື່ອງໂດຍບໍ່ມີການອະນຸຍາດພິເສດໃດໆ. ເມື່ອບັນຊີຄອມພິວເຕີຫຼືການບໍລິການ
ມີບັນຊີຢູ່ແລ້ວ, msktutil ຈະພະຍາຍາມພິສູດຢືນຢັນບັນຊີນັ້ນໂດຍໃຊ້ອັນໃດນຶ່ງ
ແຖບປຸ່ມທີ່ມີຢູ່, ຫຼືຖ້າມັນລົ້ມເຫລວ, ລະຫັດຜ່ານເລີ່ມຕົ້ນ. ເມື່ອລະຫັດຜ່ານເລີ່ມຕົ້ນນັ້ນແມ່ນ
ບໍ່ໄດ້ລະບຸດ້ວຍທາງເລືອກ --old-account-password, msktutil ຈະໃຊ້ຄ່າເລີ່ມຕົ້ນ
ລະຫັດຜ່ານເຄື່ອງ. ຈາກນັ້ນມັນຈະປ່ຽນລະຫັດຜ່ານ ແລະອັບເດດຄີບອດໃຫ້ເໝາະສົມ.
ນີ້ປົກກະຕິແລ້ວແມ່ນທາງເລືອກທີ່ສະດວກກວ່າໃນເວລາທີ່ເຂົ້າຮ່ວມຄອມພິວເຕີຈໍານວນຫຼາຍກັບໂດເມນ.
ເພື່ອສ້າງບັນຊີຄອມພິວເຕີລ່ວງໜ້າ, ເຈົ້າອາດຈະໃຊ້ Active Directory Users ແລະ Computers
GUI, ເລືອກ "ຄອມພິວເຕີໃຫມ່" ຈາກເມນູຄລິກຂວາ, ແລະພິມຊື່ DNS ສັ້ນ, ຫຼັງຈາກນັ້ນ
ກົດຂວາໃສ່ວັດຖຸທີ່ສ້າງໃຫມ່ແລະເລືອກ "Reset account" ເພື່ອຕັ້ງລະຫັດຜ່ານ
ຄ່າເລີ່ມຕົ້ນ. ທາງເລືອກອື່ນແມ່ນການເອີ້ນ msktutil ດ້ວຍ --precreate
ການໂຕ້ຖຽງ. ທັງສອງວິທີການເຮັດສໍາເລັດສິ່ງດຽວກັນ.
ເພື່ອສ້າງບັນຊີບໍລິການລ່ວງໜ້າ, ທ່ານອາດຈະໃຊ້ Active Directory Users ແລະ Computers GUI,
ເລືອກ "ຜູ້ໃຊ້ໃຫມ່" ຈາກເມນູຄລິກຂວາ, ຕື່ມຂໍ້ມູນໃສ່ໃນທຸກຂໍ້ມູນທີ່ຕ້ອງການ, ຕັ້ງລະຫັດຜ່ານ
ໃຫ້ກັບຄ່າສະເພາະ ແລະໃຊ້ setspn.exe ເພື່ອກຳນົດການບໍລິການPrincipalName(s). ເຈົ້າ
ອາດຈະເລືອກ "ຕ້ອງປ່ຽນລະຫັດຜ່ານໃນເວລາເຂົ້າສູ່ລະບົບຄັ້ງຕໍ່ໄປ".
ປຊຊ ການອອກແບບ
ຈົ່ງຮັບຮູ້ວ່າ, ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຄື່ອງ Windows ຈະປ່ຽນບັນຊີຂອງເຂົາເຈົ້າໂດຍອັດຕະໂນມັດ
ລະຫັດຜ່ານທຸກໆ 30 ມື້, ແລະດັ່ງນັ້ນໂດເມນຈໍານວນຫຼາຍມີປ່ອງຢ້ຽມຫມົດອາຍຸລະຫັດຜ່ານ 90 ມື້, ຫຼັງຈາກ
ທີ່ປຸ່ມກົດຂອງທ່ານຈະຢຸດເຮັດວຽກ. ມີສອງວິທີທີ່ຈະຈັດການກັບເລື່ອງນີ້:
a) (ທີ່ຕ້ອງການ): ໃຫ້ແນ່ໃຈວ່າທ່ານກໍາລັງແລ່ນວຽກ cron ປະຈໍາວັນເພື່ອດໍາເນີນການ msktutil --auto-update,
ເຊິ່ງຈະປ່ຽນລະຫັດຜ່ານອັດຕະໂນມັດ 30 ມື້ຫຼັງຈາກມັນຖືກປ່ຽນຄັ້ງສຸດທ້າຍ ແລະອັບເດດ
ປຸ່ມກົດ.
b) (ບໍ່ມັກ): ປິດການຫມົດອາຍຸລະຫັດຜ່ານສໍາລັບບັນຊີໂດຍຜ່ານ --dont-expire-password
ທາງເລືອກ (ຫຼືຖ້າບໍ່ດັ່ງນັ້ນການຕັ້ງຄ່າ DONT_EXPIRE_PASSWORD ທຸງໃນ userAccountControl ໃນ AD).
ປຊຊ POLICY ບັນຫາ
ພາກສ່ວນນີ້ນຳໃຊ້ກັບບັນຊີ msktutil --use-service-account ເທົ່ານັ້ນ.
ໃນຂະນະທີ່ລະຫັດຜ່ານບັນຊີເຄື່ອງອາດຈະມີການປ່ຽນແປງໄດ້ທຸກເວລາ, ບັນຊີການບໍລິການແມ່ນຜູ້ໃຊ້
ບັນຊີແລະໂດເມນ Active Directory ຂອງທ່ານອາດຈະມີນະໂຍບາຍລະຫັດຜ່ານພິເສດສໍາລັບສິ່ງເຫຼົ່ານັ້ນ
ບັນຊີຜູ້ໃຊ້. ຕົວຢ່າງ, "ອາຍຸລະຫັດຜ່ານຕໍາ່ສຸດ" ປົກກະຕິແລ້ວແມ່ນຕັ້ງເປັນ 1 ມື້, ຊຶ່ງຫມາຍຄວາມວ່າ
ເຈົ້າຈະຕ້ອງລໍຖ້າໃຫ້ເວລານັ້ນຜ່ານໄປຈົນກວ່າເຈົ້າອາດຈະເອີ້ນ msktutil --update --use-
ບັນຊີການບໍລິການ.
ອື່ນໆ ຫມາຍເຫດ
ບໍ່ເຫມືອນກັບການປະຕິບັດ kerberos ອື່ນໆ, Active Directory ມີພຽງແຕ່ຄີດຽວສໍາລັບທັງຫມົດຂອງ
ຫຼັກທີ່ກ່ຽວຂ້ອງກັບບັນຊີ. ດັ່ງນັ້ນ, ຖ້າທ່ານສ້າງບໍລິການ HTTP / hostname
ຕົ້ນຕໍ, ມັນຈະແບ່ງປັນລະຫັດດຽວກັນກັບ host/hostname principal. ຖ້າທ່ານຕ້ອງການ
isolate (ຄວາມປອດໄພ-wise) ອໍານວຍການການບໍລິການທີ່ແຕກຕ່າງກັນ, ທ່ານອາດຈະຕ້ອງການທີ່ຈະສ້າງອຸທິດຕົນ
ບັນຊີການບໍລິການສໍາລັບເຂົາເຈົ້າ (ມີ --use-service-account) ແລະໄຟລ໌ keytab ແຍກຕ່າງຫາກ (ມີ
--keytab).
ໝາຍເຫດ: kinit -k 'host/computername' *ຈະບໍ່ເຮັດວຽກ*, ໂດຍຄ່າເລີ່ມຕົ້ນ, ເຖິງແມ່ນວ່າຈະເປັນ
ຫຼັກການບໍລິການທີ່ຖືກຕ້ອງທີ່ມີຢູ່ໃນແຖບກະແຈຂອງທ່ານ. Active Directory ບໍ່ອະນຸຍາດໃຫ້ທ່ານ
ພິສູດຢືນຢັນເປັນຫຼັກການບໍລິການ, ດັ່ງນັ້ນຢ່າໃຊ້ສິ່ງນັ້ນເປັນການທົດສອບວ່າການບໍລິການຫຼືບໍ່
ຜູ້ອໍານວຍການເຮັດວຽກ. ຖ້າຫາກວ່າທ່ານຕ້ອງການທີ່ແທ້ຈິງທີ່ຈະກວດສອບເປັນຜູ້ໃຊ້ບັນຊີຄອມພິວເຕີ,
kinit -k 'ຊື່ຄອມພິວເຕີ$' ແທນ.
ຖ້າຫາກວ່າທ່ານກໍ່ຈໍາເປັນຕ້ອງສາມາດກວດສອບເປັນ 'host/computername', ທ່ານຍັງສາມາດນໍາໃຊ້.
--upn argument ເພື່ອຕັ້ງຄ່າ userPrincipalName attribute (ໂດຍທົ່ວໄປແລ້ວຕ້ອງການຜູ້ເບິ່ງແຍງລະບົບ
ຂໍ້ມູນປະຈໍາຕົວ, ບໍ່ແມ່ນຂໍ້ມູນປະຈໍາບັນຊີຄອມພິວເຕີ). ທັງ 'ຊື່ຄອມພິວເຕີ$' ແລະຄ່າຂອງ
userPrincipalName ຖືກປະຕິບັດເປັນຊື່ບັນຊີທີ່ຖືກຕ້ອງກັບ kinit as.
msktutil ຈະໃຊ້ kerberized LDAP ການດໍາເນີນງານເພື່ອສົນທະນາກັບຕົວຄວບຄຸມໂດເມນ. ເພື່ອໄດ້ຮັບ a
ປີ້ບໍລິການ LDAP, ບໍລິການ DNS ຈະຖືກໃຊ້ເພື່ອສ້າງຕົວຄວບຄຸມໂດເມນ LDAP
ຊື່ຫຼັກ. ຖ້າ DNS ຖືກຕັ້ງຄ່າຜິດ, ການກໍ່ສ້າງນີ້ອາດຈະລົ້ມເຫລວ. ເພື່ອເຮັດວຽກປະມານ
ບັນຫານີ້, ທ່ານອາດຈະລະບຸຊື່ DNS ທີ່ມີຄຸນວຸດທິຢ່າງເຕັມທີ່ຂອງຕົວຄວບຄຸມໂດເມນຂອງທ່ານ
ທາງເລືອກ --server ແລະນອກຈາກນັ້ນໃຊ້ທາງເລືອກ --no-reverse-lookups.
Samba (www.samba.org) ສະໜອງຄຳສັ່ງສຸດທິທີ່ສາມາດໃຊ້ເພື່ອຈັດການປຸ່ມ kerberos.
ຄືກັນ. ການນໍາໃຊ້ msktutil ແລະຄໍາສັ່ງເຊັ່ນ "ການໂຄສະນາສຸດທິເຂົ້າຮ່ວມ" ຫຼື "ແຖບໂຄສະນາສຸດທິ" ຮ່ວມກັນສາມາດເຮັດໄດ້
ນໍາໄປສູ່ບັນຫາ. ດ້ວຍຕົວເລືອກ --set-samba-secret, msktutil ສາມາດຖືກນໍາໃຊ້ເປັນ
ການທົດແທນສໍາລັບການສຸດທິ.
Active Directory ປະກອບມີຂໍ້ມູນການອະນຸຍາດ (ເຊັ່ນ: ຂໍ້ມູນກ່ຽວກັບການເປັນສະມາຊິກກຸ່ມ) ໃນ
ປີ້ Kerberos. ຂໍ້ມູນນີ້ເອີ້ນວ່າ PAC ແລະອາດຈະນໍາໄປສູ່ຂະຫນາດປີ້ຂະຫນາດໃຫຍ່ຫຼາຍ.
ໂດຍສະເພາະແມ່ນການບໍລິການ HTTP ແມ່ນເປັນທີ່ຮູ້ຈັກທີ່ຈະຜະລິດຄວາມລົ້ມເຫລວຖ້າຂະຫນາດນັ້ນເກີນ HTTP
ຂະໜາດຫົວ. ຖ້າການບໍລິການຂອງເຈົ້າບໍ່ໄດ້ໃຊ້ຂໍ້ມູນ PAC ນັ້ນ (ເຊິ່ງເປັນຄວາມຈິງ
Unix/Linux-services ສ່ວນໃຫຍ່) ທ່ານພຽງແຕ່ອາດຈະປິດມັນດ້ວຍທາງເລືອກ --no-pac.
ຮູບແບບ
-v, --ເວີຊັ່ນ
ສະແດງຂໍ້ມູນສະບັບ
--help ສະແດງຂໍ້ຄວາມຊ່ວຍເຫຼືອ
-c, --ສ້າງ
ສ້າງແທັບແປ້ນພິມສໍາລັບໂຮດປັດຈຸບັນຫຼືບັນຊີບໍລິການທີ່ໃຫ້. ເທົ່າກັບ
--update --service host.
-f, --flush
Flushes ອອກ ອໍາ ນວຍ ການ ທັງ ຫມົດ ສໍາ ລັບ ຊື່ ບັນ ຊີ ໃນ ປະ ຈຸ ບັນ ຈາກ ແປ້ນ ພິມ, ແລະ ເຮັດ ໃຫ້
ການປ່ຽນແປງທີ່ສອດຄ້ອງກັນກັບບັນຊີເຄື່ອງຫຼືບໍລິການ.
-u, --ອັບເດດ
ບັງຄັບໃຫ້ປ່ຽນລະຫັດຜ່ານ ແລະອັບເດດທຸກລາຍການບໍລິການຫຼັກທີ່ກ່ຽວຂ້ອງຈາກ
servicePrincipalName ແລະ userPrincipalName ຄຸນລັກສະນະ. ອັບເດດ dNSDomainName ສໍາລັບ
ບັນຊີເຄື່ອງ ແລະອັບເດດຄຸນສົມບັດ msDS-supportedEncryptionTypes ຢູ່ສະເໝີ
ຄ່າປະຈຸບັນ, ແລະນໍາໃຊ້ການປ່ຽນແປງອື່ນໆຕາມທີ່ລະບຸ.
--ການປັບປຸງອັດຕະໂນມັດ
ກວດເບິ່ງວ່າລະຫັດຜ່ານມີອາຍຸຢ່າງໜ້ອຍ 30 ວັນ (ຈາກຄຸນສົມບັດ pwdLastSet), ແລະ
ວ່າບັນຊີບໍ່ມີລະຫັດຜ່ານຫມົດອາຍຸຖືກປິດໃຊ້ງານ. ຖ້າເງື່ອນໄຂເຫຼົ່ານັ້ນແມ່ນ
ພົບ, ປະຕິບັດຄືກັນກັບ --update. ຍັງຈະອັບເດດຖ້າແປ້ນພິມບໍ່ສຳເລັດ
ພິສູດຢືນຢັນແຕ່ລະຫັດຜ່ານເລີ່ມຕົ້ນເຮັດວຽກ (ຕົວຢ່າງ: ຫຼັງຈາກການຕັ້ງຄ່າບັນຊີໃຫມ່ໃນ
AD). ຖ້າບໍ່ດັ່ງນັ້ນ, ອອກໂດຍບໍ່ມີການເຮັດຫຍັງ (ເຖິງແມ່ນວ່າຄຸນລັກສະນະການດັດແກ້ທາງເລືອກ
ແມ່ນໃຫ້). ທາງເລືອກນີ້ແມ່ນມີຈຸດປະສົງສໍາລັບການນໍາໃຊ້ຈາກ crontab ປະຈໍາວັນເພື່ອຮັບປະກັນວ່າ
ລະຫັດຜ່ານຖືກຫມຸນເປັນປົກກະຕິ.
-- ສ້າງກ່ອນ
ສ້າງກ່ອນ (ຫຼືປັບປຸງ) ບັນຊີສໍາລັບໂຮດທີ່ມອບໃຫ້ດ້ວຍລະຫັດຜ່ານເລີ່ມຕົ້ນ. ບໍ່
ບໍ່ໃຊ້ ຫຼືອັບເດດແປ້ນພິມທ້ອງຖິ່ນ. ຕ້ອງການ -h ຫຼື --computer-name argument. ຫມາຍເຖິງ
--user-creds-ເທົ່ານັ້ນ. ໂດຍທົ່ວໄປແລ້ວຮຽກຮ້ອງໃຫ້ມີຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ.
ການເຊື່ອມຕໍ່/ຕັ້ງຄ່າ OPTIONS
-b, --base
ລະບຸຖານ LDAP ທີ່ກ່ຽວຂ້ອງໃນເວລາສ້າງບັນຊີໃຫມ່. ຍົກຕົວຢ່າງ,
ການລະບຸ '-b OU=Unix' ສໍາລັບຄອມພິວເຕີທີ່ມີຊື່ SERVER ໃນໂດເມນ Active Directory
example.com ຈະສ້າງບັນຊີຄອມພິວເຕີຢູ່ໃນເສັ້ນທາງ LDAP:
CN=SERVER,OU=Unix,DC=EXAMPLE,DC=COM. ທາງເລືອກນີ້ຍັງສາມາດຖືກກໍານົດໂດຍການຕັ້ງຄ່າ
ສະພາບແວດລ້ອມ MSKTUTIL_LDAP_BASE ຕົວແປເປັນຄ່າທີ່ຕ້ອງການ.
ຖ້າບໍ່ໄດ້ລະບຸ, ຄ່າເລີ່ມຕົ້ນແມ່ນອ່ານຈາກ AD (ແລະຄ່າເລີ່ມຕົ້ນຢູ່ທີ່ນັ້ນ, ເວັ້ນເສຍແຕ່
ດັດແກ້ໂດຍຜູ້ບໍລິຫານ, ແມ່ນ CN=ຄອມພິວເຕີສໍາລັບບັນຊີເຄື່ອງຈັກ ແລະ CN=ຜູ້ໃຊ້ສໍາລັບການບໍລິການ
ບັນຊີ).
--ຊື່ຄອມພິວເຕີ
ລະບຸວ່າບັນຊີໃໝ່ຄວນໃຊ້ ສໍາລັບຊື່ບັນຊີຄອມພິວເຕີແລະ
ຊື່ບັນຊີ SAM. ໃຫ້ສັງເກດວ່າ '$' ຈະຖືກຄັດຕິດໃສ່ SAM ໂດຍອັດຕະໂນມັດ
ຊື່ບັນຊີ. ຄ່າເລີ່ມຕົ້ນຂອງຊື່ໂຮດຂອງເຄື່ອງຈັກ, ຍົກເວັ້ນພື້ນທີ່, ທີ່ມີຈຸດ
ແທນທີ່ດ້ວຍ dashes.
ນັ້ນແມ່ນ: ຖ້າອານາຈັກແມ່ນ EXAMPLE.COM, ແລະຊື່ເຈົ້າພາບແມ່ນ FOO.EXAMPLE.COM,
ຊື່ຄອມພິວເຕີເລີ່ມຕົ້ນແມ່ນ FOO. ຖ້າຊື່ເຈົ້າພາບແມ່ນ FOO.BAR.EXAMPLE.COM, ເປັນຄ່າເລີ່ມຕົ້ນ
ຊື່ຄອມພິວເຕີແມ່ນ FOO-BAR.
--ຊື່ບັນຊີ
ນາມແຝງສໍາລັບ --computer-name ທີ່ສາມາດໃຊ້ໃນເວລາທີ່ດໍາເນີນການກ່ຽວກັບບັນຊີການບໍລິການ.
ຈື່ໄວ້ວ່າ '$' ຈະບໍ່ຖືກຕື່ມໃສ່ໃສ່ຊື່ບັນຊີ SAM ໂດຍອັດຕະໂນມັດເມື່ອໃດ
ການນໍາໃຊ້ບັນຊີການບໍລິການ.
--old-account-password
ໃຊ້ລະຫັດຜ່ານບັນຊີທີ່ສະໜອງໃຫ້ສໍາລັບການພິສູດຢືນຢັນ. ນີ້ແມ່ນເປັນປະໂຫຍດຖ້າປຸ່ມກົດ
ຍັງບໍ່ທັນມີ, ແຕ່ລະຫັດຜ່ານຂອງບັນຊີຄອມພິວເຕີແມ່ນເປັນທີ່ຮູ້ຈັກ. ນີ້
ລະຫັດຜ່ານຈະຖືກປ່ຽນໂດຍ msktutil ເພື່ອສ້າງ ຫຼືອັບເດດປຸ່ມກົດ
--ລະຫັດຜ່ານ
ລະບຸລະຫັດຜ່ານບັນຊີໃໝ່ແທນການສ້າງແບບສຸ່ມ. ພິຈາລະນາ
ການຕັ້ງຄ່ານະໂຍບາຍລະຫັດຜ່ານເມື່ອກໍານົດສະຕຣິງ.
-h, --hostname
ລົບລ້າງຊື່ເຈົ້າພາບປັດຈຸບັນທີ່ຈະໃຊ້ເປັນ . ຖ້າອັນນີ້ບໍ່ໄດ້ລະບຸ,
ຊື່ເຈົ້າພາບທ້ອງຖິ່ນຈະຖືກນໍາໃຊ້. ໃຫ້ສັງເກດວ່າການບໍລິການຄົ້ນຫາຊື່ທ້ອງຖິ່ນຈະເປັນ
ເພື່ອໃຫ້ມີຄຸນສົມບັດແລະແກ້ໄຂຊື່ເຂົ້າໄປໃນຊື່ທີ່ມີຄຸນສົມບັດຄົບຖ້ວນ, ລວມທັງໂດເມນ
ການຂະຫຍາຍ. ນີ້ມີຜົນກະທົບຕໍ່ຊື່ໂຮດເລີ່ມຕົ້ນສໍາລັບການໂຕ້ຖຽງອື່ນໆ, ແລະຄ່າເລີ່ມຕົ້ນ
ຊື່ຄອມພິວເຕີ. ຊື່ເຈົ້າພາບຍັງຖືກໃຊ້ເພື່ອກໍານົດຄຸນລັກສະນະ dNSDomainName.
-k, --keytab
ກໍານົດການນໍາໃຊ້ ສໍາລັບປຸ່ມກົດ. ທາງເລືອກນີ້ຍັງສາມາດຖືກກໍານົດໂດຍ
ການຕັ້ງຄ່າສະພາບແວດລ້ອມ MSKTUTIL_KEYTAB ຕົວແປເປັນຊື່ຂອງແຖບປຸ່ມທີ່ຕ້ອງການ
ໄຟລ໌. ແຖບປຸ່ມນີ້ແມ່ນທັງສອງອ່ານຈາກ, ເພື່ອກວດສອບຄວາມຖືກຕ້ອງຕາມທີ່ໄດ້ມອບໃຫ້
ບັນຊີ, ແລະຂຽນເຖິງ, ຫຼັງຈາກການປັບປຸງລະຫັດຜ່ານບັນຊີ. ຄ່າເລີ່ມຕົ້ນ:
/etc/krb5.keytab --keytab-auth-as ລະບຸຊື່ຫຼັກທີ່ພວກເຮົາຄວນ
ພະຍາຍາມໃຊ້, ເມື່ອພວກເຮົາພິສູດຢືນຢັນຈາກແຖບປຸ່ມ. ໂດຍປົກກະຕິ, msktutil ຈະພະຍາຍາມໃຊ້
ຊື່ບັນຊີ ຫຼືເຈົ້າຂອງເຈົ້າພາບສຳລັບໂຮດປັດຈຸບັນ. ຖ້າທາງເລືອກນີ້ແມ່ນ
ທີ່ລະບຸໄວ້, ແທນທີ່ຈະ msktutil ຈະພະຍາຍາມໃຊ້ຊື່ຕົ້ນຕໍທີ່ໃຫ້ກ່ອນ, ແລະ
ພຽງແຕ່ກັບຄືນໄປສູ່ພຶດຕິກໍາເລີ່ມຕົ້ນຖ້າພວກເຮົາລົ້ມເຫລວໃນການກວດສອບຄວາມຖືກຕ້ອງກັບສິ່ງທີ່ໃຫ້
ຊື່. ທາງເລືອກນີ້ສາມາດເປັນປະໂຫຍດຖ້າຫາກວ່າທ່ານບໍ່ຮູ້ລະຫັດຜ່ານໃນປະຈຸບັນສໍາລັບການ
ບັນຊີທີ່ກ່ຽວຂ້ອງ, ບໍ່ມີ keytab ກັບຕົ້ນຕໍບັນຊີ, ແຕ່ວ່າທ່ານມີ
ແຖບກະແຈທີ່ມີບໍລິການຫຼັກທີ່ກ່ຽວຂ້ອງກັບບັນຊີນັ້ນ.
--ເຊີບເວີ
ກໍານົດການນໍາໃຊ້ ເປັນຕົວຄວບຄຸມໂດເມນ. ນີ້ມີຜົນກະທົບທັງ kerberos ແລະ
ການດໍາເນີນງານ ldap. ເຊີບເວີຍັງສາມາດລະບຸໄດ້ໂດຍການຕັ້ງ MSKTUTIL_SERVER
ສະພາບແວດລ້ອມປ່ຽນແປງ. ຄ່າເລີ່ມຕົ້ນ: ຊອກຫາຢູ່ໃນ DNS ຈາກຊື່ realm.
--server-behind-nat
ເມື່ອເຊີບເວີຢູ່ເບື້ອງຫຼັງໄຟວໍທີ່ເຮັດການແປທີ່ຢູ່ເຄືອຂ່າຍ,
ຂໍ້ຄວາມ KRB-PRIV ລົ້ມເຫລວໃນການກວດສອບ. ນີ້ແມ່ນຍ້ອນວ່າທີ່ຢູ່ IP ໃນ
ພາກສ່ວນທີ່ຖືກເຂົ້າລະຫັດຂອງຂໍ້ຄວາມບໍ່ສາມາດຖືກຂຽນຄືນໃຫມ່ໃນຂະບວນການ NAT. ທາງເລືອກນີ້
ບໍ່ສົນໃຈຄວາມຜິດພາດທີ່ເກີດຈາກຂະບວນການປ່ຽນລະຫັດຜ່ານ, ອະນຸຍາດໃຫ້ລະບົບຕ່າງໆ
ຢູ່ນອກ NAT firewall ເພື່ອເຂົ້າຮ່ວມໂດເມນທີ່ຄຸ້ມຄອງໂດຍເຄື່ອງແມ່ຂ່າຍພາຍໃນ NAT
ໄຟວໍ.
--ອານາຈັກ
ກໍານົດການນໍາໃຊ້ ເປັນ kerberos realm. ຄ່າເລີ່ມຕົ້ນ: ໃຊ້ default_realm ຈາກ
[libdefaults] ພາກສ່ວນຂອງ krb5.conf.
--site
ຊອກຫາແລະນໍາໃຊ້ຕົວຄວບຄຸມໂດເມນໃນສະຖານທີ່ AD ສະເພາະ. ຕົວເລືອກນີ້ຖືກລະເລີຍຖ້າ
option --server ຖືກໃຊ້.
-N, --no-reverse-lookup
ຢ່າພະຍາຍາມ canonicalize ຊື່ຂອງຕົວຄວບຄຸມໂດເມນຜ່ານ DNS reverse
ການຊອກຫາ. ທ່ານອາດຈະຈໍາເປັນຕ້ອງເຮັດແນວນີ້ຖ້າລູກຄ້າຂອງທ່ານບໍ່ສາມາດແກ້ໄຂບັນທຶກ PTR ສໍາລັບ
ຕົວຄວບຄຸມໂດເມນຫຼືເຄື່ອງແມ່ຂ່າຍ DNS ຂອງທ່ານເກັບຮັກສາບັນທຶກ PTR ທີ່ບໍ່ຖືກຕ້ອງ. ຄ່າເລີ່ມຕົ້ນ: ໃຊ້
DNS reverse lookups ເພື່ອ canonicalize ຊື່ DC.
--user-creds-ເທົ່ານັ້ນ
ຢ່າພະຍາຍາມພິສູດຢືນຢັນດ້ວຍແຖບປຸ່ມ: ພຽງແຕ່ໃຊ້ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ໃຊ້ເທົ່ານັ້ນ (ເຊັ່ນ:
kinit). ທ່ານອາດຈະຈໍາເປັນຕ້ອງເຮັດອັນນີ້ເພື່ອດັດແປງຄຸນລັກສະນະບາງຢ່າງທີ່ຕ້ອງການ
ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ (ລາຍລະອຽດ, userAccountControl, userPrincipalName, ໃນ
ການຕັ້ງຄ່າ AD ເລີ່ມຕົ້ນ).
--auto-update-interval
ຈໍານວນ ເມື່ອ --auto-update ຈະປ່ຽນລະຫັດຜ່ານບັນຊີ. ຄ່າເລີ່ມຕົ້ນເປັນ
30 ມື້.
-- verbose
ເປີດໃຊ້ຂໍ້ຄວາມສະຖານະ verbose. ອາດຈະຖືກລະບຸຫຼາຍກວ່າໜຶ່ງຄັ້ງເພື່ອໃຫ້ໄດ້ LDAP
ການດີບັກ.
ເປົ້າ ໝາຍ ປະເພດ/ATTRIBUTE-ການຕັ້ງຄ່າ OPTIONS
--use-service-ບັນຊີ
ສ້າງແລະຮັກສາບັນຊີການບໍລິການແທນທີ່ຈະເປັນບັນຊີເຄື່ອງຈັກ.
-- ຄະນະຜູ້ແທນ
ເປີດໃຊ້ບັນຊີທີ່ເຊື່ອຖືໄດ້ສຳລັບການມອບໝາຍ. ຕົວເລືອກນີ້ຍັງສາມາດຖືກເປີດໃຊ້ໄດ້
ໂດຍການຕັ້ງຄ່າຕົວແປສະພາບແວດລ້ອມ MSKTUTIL_DELEGATION. ນີ້ປັບປຸງແກ້ໄຂ
userAccountControl attribute. ໂດຍທົ່ວໄປແລ້ວຕ້ອງການຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ.
--ລາຍລະອຽດ
ກໍານົດຄຸນລັກສະນະຄໍາອະທິບາຍຂອງບັນຊີໃຫ້ກັບຂໍ້ຄວາມທີ່ໃຫ້ (ຫຼືເອົາອອກຖ້າຂໍ້ຄວາມແມ່ນ
''). ໂດຍທົ່ວໄປແລ້ວຕ້ອງການຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ.
--disable-delegation
ປິດການໃຊ້ງານບັນຊີຈາກການເປັນທີ່ເຊື່ອຖືສໍາລັບການມອບຫມາຍ. ນີ້ປັບປຸງແກ້ໄຂ
userAccountControl attribute. ໂດຍທົ່ວໄປແລ້ວຕ້ອງການຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ.
--disable-no-pac
ຍົກເລີກການຕັ້ງຄ່າທຸງທີ່ປິດການໃຊ້ງານຂອງ KDC ລວມທັງ PAC ໃນການບໍລິການຂອງເຄື່ອງ
ປີ້. ອັນນີ້ປັບປຸງຄຸນສົມບັດ userAccountControl. ໂດຍທົ່ວໄປແລ້ວຕ້ອງການ
ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ບໍລິຫານ.
--dont-expire-password
ຕັ້ງຄ່າບິດ DONT_EXPIRE_PASSSWORD ໃນຄຸນສົມບັດການຄວບຄຸມຜູ້ໃຊ້ບັນຊີ, ເຊິ່ງ
ປິດການໝົດອາຍຸລະຫັດຜ່ານສຳລັບບັນຊີນີ້. ຖ້າທ່ານບໍ່ດໍາເນີນການເຮັດວຽກ cron ກັບ
ໝຸນແຖບປຸ່ມເປັນໄລຍະໆ, ເຈົ້າຈະຕ້ອງຕັ້ງທຸງນີ້. ໂດຍທົ່ວໄປແລ້ວຕ້ອງການ
ຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ບໍລິຫານ.
--do-expire-password
ຍົກເລີກການຕັ້ງທຸງ DONT_EXPIRE_PASSWORD ໃນຄຸນສົມບັດ userAccountControl.
ໂດຍທົ່ວໄປແລ້ວຮຽກຮ້ອງໃຫ້ມີຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ເບິ່ງແຍງລະບົບ.
--enctypes
ຕັ້ງຄ່າປະເພດການເຂົ້າລະຫັດທີ່ຮອງຮັບໃນຊ່ອງ msDs-supportedEncryptionTypes.
ເຈົ້າອາດຈະ OR ຮ່ວມກັນກັບຄ່າຕໍ່ໄປນີ້:
0x1=des-cbc-crc
0x2=des-cbc-md5
0x4=rc4-hmac-md5
0x8=ae128-cts-hmac-sha1
0x10=ae256-cts-hmac-sha1
ຄ່ານີ້ຖືກນໍາໃຊ້ເພື່ອກໍານົດການເຂົ້າລະຫັດປະເພດໃດ AD ຈະສະເຫນີໃຫ້ໃຊ້, ແລະ
ການເຂົ້າລະຫັດປະເພດໃດທີ່ຈະໃສ່ໃນແທັບຄີ.
ຖ້າຄ່າຖືກຕັ້ງເປັນ 0x3 (ນັ້ນແມ່ນ: ພຽງແຕ່ສອງປະເພດ DES), ມັນຍັງພະຍາຍາມ
ຕັ້ງທຸງ DES ເທົ່ານັ້ນໃນ userAccountControl.
ຫມາຍເຫດ: Windows 2008R2 ປະຕິເສດທີ່ຈະໃຊ້ DES ໂດຍຄ່າເລີ່ມຕົ້ນ; ດັ່ງນັ້ນທ່ານບໍ່ສາມາດໃຊ້ DES ເທົ່ານັ້ນ
ກະແຈເວັ້ນເສຍແຕ່ວ່າທ່ານໄດ້ເປີດໃຊ້ການເຂົ້າລະຫັດ DES ສໍາລັບໂດເມນຂອງທ່ານກ່ອນ. ສະບັບທີ່ຜ່ານມາ
ຂອງລູກຄ້າ MIT kerberos ຄືກັນປະຕິເສດທີ່ຈະໃຊ້ DES ໂດຍຄ່າເລີ່ມຕົ້ນ.
ຄ່າເລີ່ມຕົ້ນ: ຕັ້ງຄ່າເປັນ 0x1C: ນັ້ນແມ່ນ, ໃຊ້ອັນໃດກໍໄດ້ແຕ່ DES.
--allow-weak-crypto
ເປີດນຳໃຊ້ການໃຊ້ກະແຈ DES ສຳລັບການພິສູດຢືນຢັນ. ນີ້ແມ່ນເທົ່າກັບ MIT's
ພາຣາມິເຕີ krb5.conf allow_weak_crypto.
--no-pac
ລະບຸວ່າປີ້ບໍລິການສໍາລັບບັນຊີນີ້ບໍ່ຄວນມີ PAC. ນີ້
ແກ້ໄຂຄຸນສົມບັດ userAccountControl. ເບິ່ງບົດຄວາມ Microsoft Knowledge Base
#832575 ສໍາລັບລາຍລະອຽດ. ທາງເລືອກນີ້ຍັງສາມາດຖືກກໍານົດໂດຍການຕັ້ງຄ່າ
ຕົວແປສະພາບແວດລ້ອມ MSKTUTIL_NO_PAC. ໂດຍທົ່ວໄປແລ້ວຕ້ອງການຜູ້ບໍລິຫານ
ຂໍ້ມູນປະ ຈຳ ຕົວ.
-s, --ການບໍລິການ
ລະບຸຫຼັກການບໍລິການທີ່ຈະເພີ່ມໃສ່ບັນຊີ (ແລະດັ່ງນັ້ນປຸ່ມກົດ, ຖ້າ
ທີ່ເຫມາະສົມ). ການບໍລິການແມ່ນໃນຮູບແບບ / . ຖ້າຊື່ເຈົ້າພາບແມ່ນ
ຖືກລະເວັ້ນ, ຖືວ່າຊື່ເຈົ້າພາບປັດຈຸບັນ. ອາດຈະຖືກກໍານົດຫຼາຍຄັ້ງ.
--remove-service
ລະບຸຫຼັກການບໍລິການທີ່ຈະເອົາອອກຈາກບັນຊີ (ແລະກົດປຸ່ມຖ້າ
ທີ່ເຫມາະສົມ).
--upn
ກຳນົດຄຸນລັກສະນະ userPrincipalName ຂອງບັນຊີຄອມພິວເຕີ ຫຼືບັນຊີບໍລິການເປັນ
ເປັນ .
userPrincipalName ສາມາດໃຊ້ນອກຈາກ sAMAccountName (ຕົວຢ່າງ
computername$ ສໍາລັບບັນຊີຄອມພິວເຕີ) ສໍາລັບ kinit.
ສາມາດໄດ້ຮັບການສະຫນອງໃຫ້ໃນຮູບແບບສັ້ນ (ເຊັ່ນ: host/hostname.example.com) ຫຼືໃນ
ຮູບແບບຍາວ (ເຊັ່ນ: ເຈົ້າພາບ /[email protected]). ໃນຮູບແບບສັ້ນ, ຄ່າເລີ່ມຕົ້ນ
realm ຈະຖືກຕື່ມໃສ່ໂດຍອັດຕະໂນມັດ.
ການປະຕິບັດງານນີ້ຕ້ອງການສິດທິຂອງຜູ້ເບິ່ງແຍງລະບົບ.
--set-samba-ລັບ
ໃຊ້ຄໍາສັ່ງ net changesecretpw ຂອງ Samba ເພື່ອຕັ້ງລະຫັດຜ່ານບັນຊີເຄື່ອງຢູ່ໃນທ້ອງຖິ່ນ
ໃນ Samba's secrets.tdb. $PATH ຕ້ອງການລວມເອົາຄໍາສັ່ງສຸດທິຂອງ Samba. Samba ຕ້ອງການ
ໄດ້ຮັບການຕັ້ງຄ່າຢ່າງເຫມາະສົມ.
--no-tls
ຢ່າໃຊ້ TLS ໃນ LDAP. ການຈະລາຈອນ LDAP ໃນ Active Directory ໄດ້ຖືກເຂົ້າລະຫັດໄວ້ແລ້ວໂດຍ
SASL/GSSAPI ດັ່ງນັ້ນບໍ່ຈໍາເປັນຕ້ອງມີ TLS.
ຕົວຢ່າງ
ສໍາລັບຜູ້ໃຊ້ທີ່ບໍ່ມີສິດທິພິເສດ, ການຮຽກຮ້ອງທົ່ວໄປທີ່ສຸດແມ່ນ:
msktutil --update --service host --service HTTP
ນີ້ຈະປັບປຸງບັນຊີຄອມພິວເຕີຢູ່ໃນ Active Directory ດ້ວຍລະຫັດຜ່ານໃຫມ່, ຂຽນ a
ແຖບປຸ່ມໃຫມ່, ແລະໃຫ້ແນ່ໃຈວ່າມັນມີທັງ "ເຈົ້າພາບ" ແລະ "HTTP" ຜູ້ອໍານວຍການບໍລິການຢູ່ໃນມັນ.
ຊື່ເຈົ້າພາບ.
msktutil --ການອັບເດດອັດຕະໂນມັດ
ນີ້ແມ່ນເປັນປະໂຫຍດໃນວຽກ cron ປະຈໍາວັນເພື່ອກວດເບິ່ງແລະຫມຸນລະຫັດຜ່ານອັດຕະໂນມັດເມື່ອ
ມັນມີອາຍຸ 30 ມື້.
ສໍາລັບຜູ້ໃຊ້ທີ່ມີສິດທິ admin ໃນ AD, ບາງການນໍາໃຊ້ທົ່ວໄປ:
msktutil --ສ້າງ --service host --service HTTP
ນີ້ຈະສ້າງບັນຊີຄອມພິວເຕີຢູ່ໃນ Active Directory ດ້ວຍລະຫັດຜ່ານໃຫມ່, ຂຽນ a
ແຖບປຸ່ມໃຫມ່, ແລະໃຫ້ແນ່ໃຈວ່າມັນມີທັງ "ເຈົ້າພາບ" ແລະ "HTTP" ຜູ້ອໍານວຍການບໍລິການຢູ່ໃນມັນ.
ຊື່ເຈົ້າພາບ.
msktutil --precreate --host computer1.example.com
ນີ້ຈະສ້າງບັນຊີກ່ອນສໍາລັບ computer1 ທີ່ມີລະຫັດຜ່ານເລີ່ມຕົ້ນໂດຍໃຊ້ຂອງທ່ານ
ໃບຮັບຮອງ. ນີ້ສາມາດເຮັດໄດ້ໃນເຈົ້າພາບສູນກາງ, eg to script ເພີ່ມເຕີມຂອງຈໍານວນຫຼາຍ
ເຈົ້າພາບ. ຈາກນັ້ນທ່ານສາມາດໃຊ້ msktutil --create on the hosts (ໂດຍບໍ່ມີການພິເສດ
credentials) ເພື່ອເຂົ້າຮ່ວມໃຫ້ເຂົາເຈົ້າກັບໂດເມນ.
msktutil --host afs --service afs --enctypes 0x03
ນີ້ຈະສ້າງ afs/cell.name@REALM principal, ແລະເຊື່ອມໂຍງເງິນຕົ້ນນັ້ນກັບ
ບັນຊີຄອມພິວເຕີເອີ້ນວ່າ 'afs'. ເງິນຕົ້ນຈະຖືກໝາຍເປັນ DES ເທົ່ານັ້ນ, ເຊິ່ງແມ່ນ
ຕ້ອງການສໍາລັບ AFS.
msktutil --create --use-service-account --service HTTP/hostname.example.com --keytab /etc/apache/krb5.keytab --account-name srv-http --no-pac
ນີ້ຈະສ້າງ HTTP/hostname.example.com@REALM principal, ແລະເຊື່ອມໂຍງມັນ.
ຕົ້ນຕໍກັບບັນຊີການບໍລິການທີ່ເອີ້ນວ່າ 'srv-http'. ກະແຈ Kerberos ທີ່ສອດຄ້ອງກັນຈະເປັນ
ຂຽນໃສ່ໄຟລ໌ແປ້ນພິມ /etc/apache/krb5.keytab. ຂະໜາດຂອງປີ້ Kerberos ສຳລັບການນັ້ນ
ການບໍລິການຈະຢູ່ໃນຂະຫນາດນ້ອຍເນື່ອງຈາກວ່າຈະບໍ່ມີຂໍ້ມູນ PAC ໄດ້ຖືກລວມເຂົ້າ.
msktutil --create --service host/hostname --service host/hostname.example.com --set-samba-secret --enctypes 0x4
ນີ້ຈະສ້າງບັນຊີຄອມພິວເຕີຢູ່ໃນ Active Directory ທີ່ເຂົ້າກັນໄດ້ກັບ Samba.
ຄໍາສັ່ງຈະສ້າງລະຫັດຜ່ານໃຫມ່, ຂຽນແຖບແປ້ນພິມໃຫມ່, ແລະໃຫ້ແນ່ໃຈວ່າມັນປະກອບມີ
ທັງ "host/hostname" ແລະ "host/hostname.example.com" ທີ່ເປັນຫຼັກການບໍລິການ (ເຊິ່ງແມ່ນ
ເທົ່າກັບສິ່ງທີ່ setspn.exe -R ຈະເຮັດໃນ windows). ລະຫັດຜ່ານຄອມພິວເຕີໃຫມ່ຈະເປັນ
ເກັບໄວ້ໃນຖານຂໍ້ມູນ secrets.tdb ຂອງ Samba ເພື່ອໃຫ້ສາມາດເຮັດວຽກຮ່ວມກັນກັບ Samba. ເປັນ Samba
(ຮຸ່ນ 3) ຮອງຮັບພຽງແຕ່ປີ້ Kerberos ທີ່ເຂົ້າລະຫັດ arcfour ເທົ່ານັ້ນ ທາງເລືອກ --enctypes ຈະຕ້ອງເປັນ.
ໃຊ້ເພື່ອເລືອກປະເພດການເຂົ້າລະຫັດນັ້ນເທົ່ານັ້ນ.
ໃຊ້ msktutil ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
