我正在使用 Windows Server 2012 R2 上的测试域。我在尽可能高的功能级别上运行,并且在我的小型测试环境中没有向后兼容性问题。但是,我意识到尽管我支持Kerberos AES 身份验证,但默认情况下没有为任何用户启用它。我必须实际进入用户的属性并勾选“此帐户支持 Kerberos AES 128 位加密”和/或“此帐户支持 Kerberos AES 256 位加密”以启用它。
(我第一次意识到这一点是在向“受保护的用户”组添加测试帐户时,该组将策略设置为需要 AES。之后,我所有的网络登录都开始失败,直到我选中这些框。)
我认为默认情况下可能会禁用此功能以确保某些系统的向后兼容性,但我找不到为所有用户启用此功能的方法,甚至无法解释当前行为。
有任何想法吗?