已加入域的设备公钥身份验证

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10

从 Windows Server 2012 和 Windows 8 开始，Kerberos 开始支持已加入域的设备使用证书进行登录。此变化允许第三方供应商创建解决方案来为已加入域的设备预配和初始化证书，以用于域身份验证。

自动化公钥预配

从 Windows 10 版本 1507 和 Windows Server 2016 开始，已加入域的设备会自动将一个绑定的公钥预配到 Windows Server 2016 域控制器 (DC)。预配密钥后，Windows 可以对域使用公钥身份验证。

如果设备正在运行 Credential Guard，则会创建受 Credential Guard 保护的公钥/私钥对。

如果 Credential Guard 不可用但某个 TPM 可用，则会创建受该 TPM 保护的公钥/私钥对。

如果两者都不可用，则不会生成密钥对，并且设备只能使用密码进行身份验证。

当 Windows 启动时，它会检查是否已为其计算机帐户预配公钥。如果没有，则它会生成一个绑定的公钥，并且会在使用 Windows Server 2016 或更高版本 DC 的 AD 中为其帐户配置该公钥。如果所有 DC 都是低级版本，则不会预配任何密钥。

如果组策略设置“支持使用证书进行设备身份验证”设置为“强制”，则设备需要查找运行 Windows Server 2016 或更高版本的 DC 来进行身份验证。此设置位于“管理模板”>“系统”>“Kerberos”下。

如果组策略设置“支持使用证书进行设备身份验证”被禁用，则会始终使用密码。此设置位于“管理模板”>“系统”>“Kerberos”下。

当 Windows 具有已加入域的设备的证书时，Kerberos 首先使用该证书进行身份验证，并在失败时使用密码重试。这允许设备向低级版本的 DC 进行身份验证。

由于自动预配的公钥具有自签名证书，因此，在不支持密钥信任帐户映射的域控制器上，证书验证会失败。默认情况下，Windows 会使用设备的域密码重试身份验证。