从Server 2016开始,ntds.dit的默认加密方式更改成了AES-128。其中key为SYS key或PEK,IV为PEK_HDR或SECRET_DATA中的Salt。
这次更新添加了对Server 2016的支持,本地测试刚搭建的域控是没问题的。但由于没有实际的数据,不确定有没有别的BUG(理论上不会)。
另外,测试时候发现Server 2016+Shadow Copy偶尔拷贝出的文件不是实时的,例如添加账户后直接复制ntds.dit,有可能里面不包含刚刚添加的账户。
如果导出的ntds.dit中找不到新添加的用户或hash没更新,请重启或者重建卷影备份,保证复制出的ntds.dit和ntds目录下相同大小。
真实环境下这个问题不明显,可以忽略。
下载地址: NTDSDumpEx.zip
解压密码见注释(github的release是没有密码的,去git吧~)。
Github:https://github.com/zcgonvh/NTDSDumpEx