oernst 10 Geschrieben 24. März 2010 Melden Teilen Geschrieben 24. März 2010 Hallo zusammen! Wir haben aktuell ein Problem bei unserer AD Migration. Die Umstellung erfolgt von 2003 auf 2008 (Server OS, Funktionsebene bleibt erstmal 2003 pur). Das Problem ist, dass wir momentan noch NT4 Domänen im Einsatz haben und diese vorerst auch nicht ohne weiteres abschalten können. Diese NT4 Domänen sind per bidirektionaler Vertrauensstellung an unsere 2003 pur Domäne angebunden. Das funktionierte auch alles wunderbar, bis wir 2008er DCs in unsere Domäne aufgenommen haben. Jetzt schlägt die Authentifizierung zwischen den beiden Domänen fehl, sobald ein 2008er abgefragt wird. Vermutlich wegen der Kryptografie-Netlogon Dienste (siehe KB-Link unten). Das Workaround aus dem KB-Artikel hat bei uns leider nicht funktioniert. Wir würden gerne versuchen, der NT4 Domäne nur 1-2 Vertrauenspartner anzugeben (2003), um uns ein wenig Zeit zu verschaffen, bis wir die NT Domänen abschalten können. Hat hier jemand eine Idee? Bzw. einen weiteren Ansatz, die Vertrauensstellung auf 2008 anzubinden? Wir sind schon über die "Ausgewählte Authentifizierung" gestolpert, aber wir finden nirgendwo, ob nur von Member-Servern etc. die Rede ist, oder ob auch DCs spezifisch angegeben werden können. Diese müssten ja eigentlich als "Verbund" sofort zur Verfügung stehen(?). Stelle ich mir auch sehr aufwendig vor, eine Whitelist zu erstellen, wenn man andersrum nur EINEN Blacklist Eintrag für das 2008er OS hätte... The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default PS: PDC-Em. ist ein 2003er DC. Für Lösungsansätze wäre ich sehr dankbar :) greetz Örnst Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 30. März 2010 Melden Teilen Geschrieben 30. März 2010 Hi, unter Windows Server 2008 kannst Du noch den Secure Channel "Strong Session Key" abschalten - unter Umständen ist der aktiv? Check einmal die Einstellung zum starken Sitzungsschlüssel auf den DCs: Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments Registry Schlüssel lautet "RequireStrongKey". In 2008 R2 ist die Einstellung nicht mehr nutzbar, der Secure Channel Strong Sesion Key ist hard-coded unter Windows Server 2008 R2 RTM. Zum jetzigen Zeitpunkt gibt es meines Wissens keinen Workaround dafür. Zeit also, die NT Domänen schnellstmöglich abzuschalten - wenn man einmal davon absieht, daß es dafür schon seit Jahren keine Security Fixes mehr gibt. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.