Estoy jugando con un dominio de prueba en Windows Server 2012 R2. Estoy operando al nivel funcional más alto posible y no tengo problemas de compatibilidad con versiones anteriores en mi pequeño entorno de prueba. Sin embargo, me di cuenta de que a pesar de que tengo soporte para la autenticación Kerberos AES, no está habilitada de manera predeterminada para ningún usuario. Tengo que ir a las propiedades de un usuario y marcar "Esta cuenta es compatible con el cifrado Kerberos AES de 128 bits" y / o "Esta cuenta es compatible con el cifrado Kerberos AES de 256 bits" para habilitarla.
(Primero me di cuenta de esto cuando agregué una cuenta de prueba al grupo "Usuarios protegidos", que establece que la política requiera AES. Luego, todos mis inicios de sesión de red comenzaron a fallar hasta que marqué esas casillas).
Creo que esto podría deshabilitarse de forma predeterminada para garantizar la compatibilidad con versiones anteriores para algunos sistemas, pero no puedo encontrar una manera de habilitar esto para todos los usuarios, o incluso una explicación del comportamiento actual.
¿Algunas ideas?
fuente