根據這一年多來的支援經驗,若您的 AD 的 DC(網域控制站) 打算從舊版的 2000/2003/2003R2/2008 升級至 2008R2,那您就要注意囉...
因為 MS 在 Windows 7 & Server 2008R2 系統中 AD 的 KERBEROS 驗證的加密方式改變了,這對 CLIENT 端的 PC(不論是 2000/XP/VISTA)較沒影響,但對其他的網路周邊裝置就可能會有影響喔(無法通過 AD 驗證)。
微軟在 Windows 7 & Server 2008R2 系統中已將原先使用的 DES 加密方式變更為 AES,且預設將 DES 關閉,因此,某些網路裝置若需經由 AD 驗證才能供 USER 使用的設備,就會因驗證方式的支援程度不同而無法通過驗證,造成不能使用該設備。
MS 還是有提供 HOTFIX 可解決此一問題 : KB977321
這支 HOTFIX 只是把 DC 的 DES 再打開而已,其實也沒什麼大不了的,也不會影響其他的部分。但某大型企業的微軟駐廠顧問竟然不同意安裝此一 HOTFIX(他公司自己推出的),理由是 SECURITY......
結果我跟他們說: 你們的 AD 由 2000 升級至 2008R2 前用的就是 DES,現在升級完 也只是將原先的 DES 開啟讓某些設備可以使用(不換設備),其他又沒影響,有何安全性顧慮,除非.....
他們沒講什麼,也不了了之一段時間,過了一個多月我再私下打聽,他們已經裝好了,所以也都不會有問題了,所以,我也只能莫可奈何的苦笑一下罷了。
最後要提醒的是:有些較舊的網路設備無法透過像 FIRMWARE UPDATE 這種方式做更新的話,碰到這種情形,只能花錢換新設備解決,但..不是每家公司都隨時有預算可買新設備,所以,AD 升級前要多方考慮,最好將所有往來廠商都找來問清楚,不然,後果可能要自己想辦法了。
自己的經驗,提供大家參考囉..
fran633提到:
其他的網路周邊裝置
有哪些?用得到AD驗證?
iT邦幫忙MVPbigcandy提到:
有哪些?用得到AD驗證?
消費級 NAS, 大型多功能事務機......
這兩天剛好在跟七台 Buffalo NAS 奮戰, 就是為了 2008 R2 的 AD 加密....搞到我快要不能結案....這七台可以正常加入 AD 網域驗證, 但升級到 R2 之後, 雖然可以加入網域, 卻無法提供檔案存取驗證, 讓所有人都進不去....而原廠的 Firmware 只更新到 2009 年, 完全沒有新版可以用, 只能回頭拿 R2 來開刀...
raytracy提到:
消費級 NAS, 大型多功能事務機...
沒錯沒錯.....
我只知道NAS有這需求,感謝RAY超人提示!
無法提供檔案存取驗證, 讓所有人都進不去....
RAY老師,要不要請USER變更一次密碼後再驗證試試看..
有的大型事務機是可以在 USER 變更密碼後就可通過 AD 驗證了。
感謝提醒, 我明天會再試試這個方法...
感謝提醒, 我明天會再試試這個方法...