Petite KB pour les upgrade de domaine W2K3 vers W2K12 R2

Back to basics. C’est la saison des projets d’upgrade des infrastructures basées sur Windows 2003. l’OS a presque dix ans. Dans le cadre d’un projet de mise à niveau des infrastructure d’annuaire, nous aurons donc des contrôleurs de domaine Windows 2003 qui devront coexister avec des contrôleurs de domaine Windows Server 2012 R2. Selon le technet, cela ne devrait pas poser de problème.

Pourtant, l’équipe en charge du support Active Directory avait publié ce billet en Juillet 2014 : It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers. La coexistence entre les deux générations de contrôleurs de domaine posait problème au niveau de Kerberos. D’un coté Windows Server 2012 R2 ne supporte plus DES (par défaut) et Windows Server 2003 ignore les nouveaux algorithmes proposés par Windows Server 2012 R2. Bref, on avait une certaine cacophonie au niveau de Kerberos qui pouvait conduire à l’impossibilité de changer le mot de passe des systèmes raccordés au domaine. Pour adresser cette problématique, Microsoft proposait une méthode de contournement (en attendant de finaliser le démantèlement des contrôleurs de domaines Windows 2003).

Depuis fin Aout, la méthode de contournement proposé par Microsoft n’est plus d’actualité puisqu’un correctifs est enfin disponible : KB2989971 – Can’t log on after changing machine account password in mixed Windows Server 2012 R2 and Windows Server 2003 environment. A installer sur tous vos contrôleurs de domaine Windows Server 2012 R2.

 

benoîtS – Simple and Secure by Design but Business compliant

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.