Jump to content

Vertrauensstellung: NT4 Dom. zu 2003/2008 Dom.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen!

 

Wir haben aktuell ein Problem bei unserer AD Migration.

Die Umstellung erfolgt von 2003 auf 2008 (Server OS, Funktionsebene bleibt erstmal 2003 pur).

 

Das Problem ist, dass wir momentan noch NT4 Domänen im Einsatz haben und diese vorerst auch nicht ohne weiteres abschalten können. Diese NT4 Domänen sind per bidirektionaler Vertrauensstellung an unsere 2003 pur Domäne angebunden. Das funktionierte auch alles wunderbar, bis wir 2008er DCs in unsere Domäne aufgenommen haben.

Jetzt schlägt die Authentifizierung zwischen den beiden Domänen fehl, sobald ein 2008er abgefragt wird. Vermutlich wegen der Kryptografie-Netlogon Dienste (siehe KB-Link unten). Das Workaround aus dem KB-Artikel hat bei uns leider nicht funktioniert.

 

Wir würden gerne versuchen, der NT4 Domäne nur 1-2 Vertrauenspartner anzugeben (2003), um uns ein wenig Zeit zu verschaffen, bis wir die NT Domänen abschalten können.

Hat hier jemand eine Idee? Bzw. einen weiteren Ansatz, die Vertrauensstellung auf 2008 anzubinden?

 

Wir sind schon über die "Ausgewählte Authentifizierung" gestolpert, aber wir finden nirgendwo, ob nur von Member-Servern etc. die Rede ist, oder ob auch DCs spezifisch angegeben werden können. Diese müssten ja eigentlich als "Verbund" sofort zur Verfügung stehen(?). Stelle ich mir auch sehr aufwendig vor, eine Whitelist zu erstellen, wenn man andersrum nur EINEN Blacklist Eintrag für das 2008er OS hätte...

 

The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default

 

PS: PDC-Em. ist ein 2003er DC.

 

 

Für Lösungsansätze wäre ich sehr dankbar :)

 

greetz Örnst

Link zu diesem Kommentar

Hi,

 

unter Windows Server 2008 kannst Du noch den Secure Channel "Strong Session Key" abschalten - unter Umständen ist der aktiv? Check einmal die Einstellung zum starken Sitzungsschlüssel auf den DCs: Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

 

Registry Schlüssel lautet "RequireStrongKey".

 

In 2008 R2 ist die Einstellung nicht mehr nutzbar, der Secure Channel Strong Sesion Key ist hard-coded unter Windows Server 2008 R2 RTM. Zum jetzigen Zeitpunkt gibt es meines Wissens keinen Workaround dafür. Zeit also, die NT Domänen schnellstmöglich abzuschalten - wenn man einmal davon absieht, daß es dafür schon seit Jahren keine Security Fixes mehr gibt.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...