Ich spiele mit einer Testdomäne unter Windows Server 2012 R2 herum. Ich arbeite auf der höchstmöglichen Funktionsebene und habe in meiner kleinen Testumgebung keine Abwärtskompatibilitätsprobleme. Ich habe jedoch festgestellt, dass die Kerberos AES-Authentifizierung trotz der Tatsache, dass sie unterstützt wird, standardmäßig für keine Benutzer aktiviert ist. Ich muss tatsächlich in die Eigenschaften eines Benutzers gehen und "Dieses Konto unterstützt Kerberos AES 128-Bit-Verschlüsselung" und / oder "Dieses Konto unterstützt Kerberos AES 256-Bit-Verschlüsselung" abhaken, um es zu aktivieren.
(Dies wurde mir zum ersten Mal klar, als ich der Gruppe "Geschützte Benutzer" ein Testkonto hinzufügte, in dem die Richtlinie so festgelegt ist, dass AES erforderlich ist. Danach schlugen alle meine Netzwerkanmeldungen fehl, bis ich diese Kontrollkästchen aktivierte.)
Ich gehe davon aus, dass dies möglicherweise standardmäßig deaktiviert ist, um die Abwärtskompatibilität für einige Systeme zu gewährleisten, aber ich kann keine Möglichkeit finden, dies für alle Benutzer zu aktivieren, oder sogar eine Erklärung des aktuellen Verhaltens.
Irgendwelche Ideen?