Во-первых, все энктипы, кроме arcfour-hmac, используют имя области как часть ключевой соли. Для того, чтобы получить правильный ключ из пароля, вы должны использовать точно такую же, как область использует KDC. Обычно это означает, что он должен быть в верхнем регистре (несмотря на то, что UPN являются строчными).
Кроме того, aes128-cts…
и aes256-cts…
enctypes может потребоваться включен в счет (и, возможно, во всем мире в контроллере домена, а) - см связанной документации Microsoft.
Что касается DES: des-cbc…
не следует использовать: Single-DES тривиально взломать даже на ПК. (С другой стороны, Triple-DES des3-cbc…
просто не поддерживается Windows Server.)
(arcfour-hmac просто использует хеш-пароль NTLM в качестве своего «ключа»; он был переоборудован под Kerberos. Поэтому его keysalt не включает область.)