ktpassktpass

適用先:Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active directory Domain Services (AD DS) で、ホストまたはサービスのサーバー プリンシパル名を構成し、サービスの共有シークレット キーを含む .keytab ファイルを生成します。Configures the server principal name for the host or service in active directory Domain Services (AD DS) and generates a .keytab file that contains the shared secret key of the service. .keytab ファイルは、Kerberos 認証プロトコルのマサチューセッツ工科大学 (MIT) による実装に基づいています。The .keytab file is based on the Massachusetts Institute of Technology (MIT) implementation of the Kerberos authentication protocol. Ktpass コマンドライン ツールは、Kerberos キー配布センター (KDC) サービスによって提供される相互運用性機能を使用する Kerberos 認証をサポートする Windows 以外のサービスを使用します。The ktpass command-line tool allows non-Windows services that support Kerberos authentication to use the interoperability features provided by the Kerberos Key Distribution Center (KDC) service. このトピックで指定されているオペレーティング システムのバージョンに適用されます、適用先トピックの冒頭にある一覧。This topic applies to the operating system versions designated in the Applies To list at the beginning of the topic.

構文Syntax

ktpass  
[/out <FileName>]   
[/princ <PrincipalName>]   
[/mapuser <UserAccount>]   
[/mapop {add|set}] [{-|+}desonly] [/in <FileName>]  
[/pass {Password|*|{-|+}rndpass}]  
[/minpass]  
[/maxpass]  
[/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}]  
[/itercount]  
[/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}]  
[/kvno <KeyversionNum>]  
[/answer {-|+}]  
[/target]  
[/rawsalt] [{-|+}dumpsalt] [{-|+}setupn] [{-|+}setpass <Password>]  [/?|/h|/help]  

パラメーターParameters

パラメーターParameter 説明Description
/out /out 生成するには、Kerberos バージョン 5 .keytab ファイルの名前を指定します。Specifies the name of the Kerberos version 5 .keytab file to generate. 注: これは、次のように既存 .keytab ファイル/Etc/Krb5.keytab を使って、Windows オペレーティング システムが実行されていないコンピューターに転送して、置換またはマージ .keytab ファイル。Note: This is the .keytab file that you transfer to a computer that is not running the Windows operating system, and then replace or merge with your existing .keytab file, /Etc/Krb5.keytab.
/princ /princ フォームでプリンシパル名を指定します。host/computer.contoso.com@CONTOSO.COMします。Specifies the principal name in the form host/computer.contoso.com@CONTOSO.COM. 警告: このパラメーターは大文字小文字を区別します。Warning: This parameter is case sensitive. 参照してください解説詳細についてはします。See remarks for more information.
/mapuser /mapuser マップで指定されている Kerberos プリンシパルの名前、 princパラメーターを指定したドメイン アカウント。Maps the name of the Kerberos principal, which is specified by the princ parameter, to the specified domain account.
/mapop {追加|設定}/mapop {add|set} マッピング属性を設定する方法を指定します。Specifies how the mapping attribute is set.

- 追加指定されたローカル ユーザー名の値を追加します。- add adds the value of the specified local user name. これが既定値です。This is the default.
- 設定値のデータ暗号化標準 (DES) の設定-指定したローカル ユーザー名のみを暗号化します。- Set sets the value for Data Encryption Standard (DES)-only encryption for the specified local user name.
{-|+}desonly{-|+}desonly 既定で DES のみの暗号化が設定されます。DES-only encryption is set by default.

- + DES 専用の暗号化用のアカウントを設定します。- + Sets an account for DES-only encryption.
- - DES 専用の暗号化のため、アカウントの制限を解放します。- - Releases restriction on an account for DES-only encryption. 重要: Windows 7 および Windows Server 2008 R2 以降、Windows は、既定で DES をサポートしません。IMPORTANT: Beginning with Windows 7 and Windows Server 2008 R2 , Windows does not support DES by default.
/in /in Windows オペレーティング システムが実行されていないホスト コンピューターから読み取る .keytab ファイルを指定します。Specifies the .keytab file to read from a host computer that is not running the Windows operating system.
/pass {Password|*|{-|+}rndpass}/pass {Password|*|{-|+}rndpass} によって指定されるプリンシパルのユーザー名のパスワードを指定します、 princパラメーター。Specifies a password for the principal user name that is specified by the princ parameter. 使用して"*"パスワードを要求します。Use "*" to prompt for a password.
/minpass/minpass 15 文字のランダムなパスワードの最小の長さを設定します。Sets the minimum length of the random password to 15 characters.
/maxpass/maxpass ランダムなパスワードの最大の長さを 256 文字に設定します。Sets the maximum length of the random password to 256 characters.
/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All}/crypto {DES-CBC-CRC|DES-CBC-MD5|RC4-HMAC-NT|AES256-SHA1|AES128-SHA1|All} Keytab ファイルで生成されるキーを指定します。Specifies the keys that are generated in the keytab file:

- DES の CRC CBC互換性のために使用します。- DES-CBC-CRC is used for compatibility.
- DES CBC-MD5 MIT 実装により厳密に準拠し、互換性のために使用します。- DES-CBC-MD5 adheres more closely to the MIT implementation and is used for compatibility.
- RC4-NT HMAC 128 ビット暗号化を採用しています。- RC4-HMAC-NT employs 128-bit encryption.
- AES256、SHA1 AES256-CTS の HMAC-SHA1-96 暗号化を採用しています。- AES256-SHA1 employs AES256-CTS-HMAC-SHA1-96 encryption.
- AES128、SHA1 AES128、CTS の HMAC-SHA1-96 暗号化を採用しています。- AES128-SHA1 employs AES128-CTS-HMAC-SHA1-96 encryption.
- すべて暗号化の種類がサポートされているすべての状態を使用することができます。- All states that all supported cryptographic types can be used. 注: 既定の設定は、MIT の以前のバージョンに基づいています。Note: The default settings are based on older MIT versions. そのため、/crypto常に指定する必要があります。Therefore, /crypto should always be specified.
/itercount/itercount AES 暗号化で使用される、反復回数を指定します。Specifies the iteration count that is used for AES encryption. 既定値をitercountは非 AES 暗号化で無視され、AES 暗号化 4,096 に設定します。The default is that itercount is ignored for non-AES encryption and set at 4,096 for AES encryption.
/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST}/ptype {KRB5_NT_PRINCIPAL|KRB5_NT_SRV_INST|KRB5_NT_SRV_HST} プリンシパルの種類を指定します。Specifies the principal type.

- KRB5_NT_PRINCIPALは一般的なプリンシパルの種類 (推奨)。- KRB5_NT_PRINCIPAL is the general principal type (recommended).
- KRB5_NT_SRV_INSTはユーザーのサービス インスタンスです。- KRB5_NT_SRV_INST is the user service instance.
- KRB5_NT_SRV_HSTホスト サービスのインスタンスです。- KRB5_NT_SRV_HST is the host service instance.
/kvno /kvno キーのバージョン番号を指定します。Specifies the key version number. 既定値は 1 です。The default value is 1.
/answer {-|+}/answer {-|+} バック グラウンドの応答モードに設定します。Sets the background answer mode:

- 回答番号で自動的にパスワード プロンプトの表示をリセットします。- Answers reset password prompts automatically with NO.

+ 回答は、[はい] が自動的にパスワード プロンプトの表示をリセットします。+ Answers reset password prompts automatically with YES.
/target/target 使用するドメイン コント ローラーを設定します。Sets which domain controller to use. 既定では、検出し、プリンシパル名に基づく、ドメイン コント ローラーです。The default is for the domain controller to be detected, based on the principal name. ドメイン コント ローラー名が解決しない場合、有効なドメイン コント ローラーのダイアログ ボックスが求められます。If the domain controller name does not resolve, a dialog box will prompt for a valid domain controller.
/rawsalt/rawsalt キーの生成時に、rawsalt アルゴリズムを使用する ktpass を強制します。forces ktpass to use the rawsalt algorithm when generating the key. このパラメーターは必要ありません。This parameter is not needed.
{0}-|+} dumpsalt{-|+}dumpsalt このパラメーターの出力は、キーの生成に使用されている MIT salt アルゴリズムを示しています。The output of this parameter shows the MIT salt algorithm that is being used to generate the key.
{-|+}setupn{-|+}setupn サービス プリンシパル名 (SPN) だけでなくユーザー プリンシパル名 (UPN) を設定します。Sets the user principal name (UPN) in addition to the service principal name (SPN). 既定では、.keytab ファイルの両方を設定します。The default is to set both in the .keytab file.
{0}-|+} setpass {-|+}setpass 指定されている場合、ユーザーのパスワードを設定します。Sets the user's password when supplied. Rndpass を使用する場合は、代わりにランダムなパスワードが生成されます。If rndpass is used, a random password is generated instead.
/?|/h|/help/?|/h|/help コマンド ライン ヘルプを表示します ktpass します。Displays command-line help for ktpass.

「解説」remarks

Windows オペレーティング システムを実行していないシステムで実行されているサービスは、active directory Domain Services でのサービス インスタンスのアカウントで構成できます。Services running on systems that are not running the Windows operating system can be configured with service instance accounts in active directory Domain Services. これにより、Windows の Kdc を使用して、Windows オペレーティング システムを実行していないサービスに対する認証に Kerberos クライアントができます。This allows any Kerberos client to authenticate to services that are not running the Windows operating system by using Windows KDCs.
/Princ パラメーターは、ktpass では評価されませんし、提供されるように使用されます。The /princ parameter is not evaluated by ktpass and is used as provided. パラメーターの大文字と小文字が一致するかどうかにチェックはありません、 userPrincipalName Keytab ファイルを生成するときに、属性値。There is no check to see if the parameter matches the exact case of the userPrincipalName attribute value when generating the Keytab file. この Keytab ファイルを使用して Kerberos ディストリビューションの大文字小文字を区別できない問題が生じるケースと完全に一致が存在しない場合、事前認証中に失敗する可能性があります。Case sensitive Kerberos distributions using this Keytab file might have problems when there is no exact case match and could fail during pre-authentication. 確認し、適切な取得userPrincipalName LDifDE のエクスポート ファイルから属性の値。Check and retrieve the correct userPrincipalName attribute value from a LDifDE export file. 例:For example:

ldifde /f keytab_user.ldf /d "CN=Keytab User,OU=UserAccounts,DC=contoso,DC=corp,DC=microsoft,DC=com" /p base /l samaccountname,userprincipalname  

Examples

次の例では、サンプル 1 のユーザーの現在のディレクトリで machine.keytab、Kerberos .keytab ファイルを作成する方法を示します。The following example illustrates how to create a Kerberos .keytab file, machine.keytab, in the current directory for the user Sample1. (このファイルは、Windows オペレーティング システムが実行されていないホスト コンピューター上の Krb5.keytab ファイルではマージされます)。Kerberos .keytab ファイルは、全般のプリンシパルの種類のすべてのサポートされている暗号化の種類に対して作成されます。(You will merge this file with the Krb5.keytab file on a host computer that is not running the Windows operating system.) The Kerberos .keytab file will be created for all supported encryption types for the general principal type.
Windows オペレーティング システムが実行されていないホスト コンピューターの .keytab ファイルを生成するには、プリンシパルをアカウントにマップし、ホストのプリンシパルのパスワードを設定する、次の手順を使用します。To generate a .keytab file for a host computer that is not running the Windows operating system, use the following steps to map the principal to the account and set the host principal password:

  1. スナップインを使用する active directory ユーザーとコンピューター、Windows オペレーティング システムが実行されていないコンピューター上のサービスのユーザー アカウントを作成します。Use the active directory User and computers snap-in to create a user account for a service on a computer that is not running the Windows operating system. たとえば、サンプル 1 の名前を持つアカウントを作成します。For example, create an account with the name Sample1.

  2. コマンド プロンプトで、次を入力して、ユーザー アカウントの id マッピングを設定するには、ktpass を使用します。Use ktpass to set up an identity mapping for the user account by typing the following at a command prompt:

    ktpass /princ host/Sample1.contoso.com@CONTOSO.COM /mapuser Sample1 /pass MyPas$w0rd /out Sample1.keytab /crypto all /ptype KRB5_NT_PRINCIPAL /mapop set   
    

    注意

    同じユーザー アカウントに複数のサービス インスタンスをマップすることはできません。You cannot map multiple service instances to the same user account.

  3. .Keytab ファイルを Windows オペレーティング システムが実行されていないホスト コンピューターで/Etc/Krb5.keytab ファイルをマージします。Merge the .keytab file with the /Etc/Krb5.keytab file on a host computer that is not running the Windows operating system.

その他の参照additional references

コマンド ライン構文の記号Command-Line Syntax Key