Windows Server 2008 R2 – Trust con Windows Server NT 4
Ciao a tutti,
Stiamo ricevendo un crescente numero di chiamate in merito a problematiche legate all'impossibilità di creare una relazione di trust tra Windows Server 2008 R2 e domini NT4, lamentando il fatto che la procedura parte ma non si riesce a completare restituendo un problema con la verifica della trust stessa.
Ho deciso quindi di scrivere questo post per chiarire maggiormente che questa operazione non è supportata: la creazione di trust tra Windows Server 2008 R2 e NT4 non sono supportate.
Da un punto di vista tecnico è possibile creare una trust incoming da Windows 2008 R2 verso un dominio NT4 (ovvero NT4 trusta Windows Server 2008 R2)
Questo consente che le identità (i security principals) del dominio Windows 2008 R2 possano accedere alle risorse nel dominio NT4.
Comunque, dato che questa configurazione NON E' supportata, non c'è garanzia che futuri aggiornamenti al prodotto Windows server 2008 r2 od a sue componenti possano interrompere questa funzionalità.
Sappiamo benissimo che molte configurazioni che non sono supportate riescono a funzionare però sono a ricordarvi che nell'implementarle è necessario comunque valutare eventuali rischi e tenere presente che potrebbero, in futuro, smettere di essere funzionanti.
Tornando al problema della trust è certo che è stato deciso di non fidarsi più dei security principals costruiti dal PDC NT4, a causa del fatto che la debole crittografia utilizzata per creare questi token non è accettabile oggi, e quindi la rifiutiamo.
Ancora una volta, voglio evidenziare che NT4 è fuori supporto da molto tempo.
Come di consueto vi rimando ad alcune letture:
- KB 942564 - The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default
- Understanding Trust Direction
Ciao e alla prossima.
Domenico Costa
Senior Support Engineer
Microsoft Enterprise Platform Support