Je joue avec un domaine de test sur Windows Server 2012 R2. J'opère au niveau fonctionnel le plus élevé possible et je n'ai aucun problème de rétrocompatibilité dans mon petit environnement de test. Cependant, j'ai réalisé que malgré le fait que je prenne en charge l'authentification Kerberos AES, elle n'est activée par défaut pour aucun utilisateur. Je dois réellement aller dans les propriétés d'un utilisateur et cocher «Ce compte prend en charge le cryptage Kerberos AES 128 bits» et / ou «Ce compte prend en charge le cryptage Kerberos AES 256 bits» pour l'activer.
(J'ai réalisé cela pour la première fois en ajoutant un compte de test au groupe "Utilisateurs protégés", ce qui définit la stratégie pour exiger AES. Par la suite, toutes mes connexions réseau ont commencé à échouer jusqu'à ce que je vérifie ces cases.)
Je pense que cela peut être désactivé par défaut pour garantir la compatibilité descendante pour certains systèmes, mais je ne trouve pas de moyen d'activer cela pour tous les utilisateurs, ni même une explication du comportement actuel.
Des idées?