Kerberos и AES256 в Windows 2012R2

Разобрался почему у меня раньше не удавалось сделать Single Sign On с использованием Kerberos и шифрования сеансовых ключей в AES-256. При этом, шифрование в RC4 работало без нареканий. Как выяснилось, Windows Server 2012 R2 из коробки поддерживает и AES128, и AES256, но по умолчанию они выключены. Чтобы включить, надо для аккаунта установить флаг, см. скриншот.

Если хочется ключей с шифрованием AES-256, то подобную процедуру нужно проделать для каждого пользовательского аккаунта и для каждого сервиса, который должен аутентифицировать этих пользователей.

Народ с "serverfault.com" советует использовать для этого вот такой Powershell-скрипт.

# The numerical values for Kerberos AES encryption types to support $AES128 = 0x8 $AES256 = 0x10 # Fetch all users from an OU with their current support encryption types attribute $Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes" foreach($User in $Users) { # If none are currently supported, enable AES256 $encTypes = $User."msDS-SupportedEncryptionType" if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256) { Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)} } }

Почему нельзя было включить эти возможности по умолчанию, лично для меня остается великой загадкой.