用户投稿根据这一年多来的支援经验,若您的 AD 的 DC(网域控制站) 打算从旧版的 2000/2003/2003R2/2008 升级至 2008R2,那您就要注意啰...
因为 MS 在 Windows 7 & Server 2008R2 系统中 AD 的 KERBEROS 验证的加密方式改变了,这对 CLIENT 端的 PC(不论是 2000/XP/VISTA)较没影响,但对其他的网路周边装置就可能会有影响喔(无法通过 AD 验证)。
微软在 Windows 7 & Server 2008R2 系统中已将原先使用的 DES 加密方式变更为 AES,且预设将 DES 关闭,因此,某些网路装置若需经由 AD 验证才能供 USER 使用的设备,就会因验证方式的支援程度不同而无法通过验证,造成不能使用该设备。
MS 还是有提供 HOTFIX 可解决此一问题 : KB977321
这支 HOTFIX 只是把 DC 的 DES 再打开而已,其实也没什么大不了的,也不会影响其他的部分。但某大型企业的微软驻厂顾问竟然不同意安装此一 HOTFIX(他公司自己推出的),理由是 SECURITY......
结果我跟他们说: 你们的 AD 由 2000 升级至 2008R2 前用的就是 DES,现在升级完 也只是将原先的 DES 开启让某些设备可以使用(不换设备),其他又没影响,有何安全性顾虑,除非.....
他们没讲什么,也不了了之一段时间,过了一个多月我再私下打听,他们已经装好了,所以也都不会有问题了,所以,我也只能莫可奈何的苦笑一下罢了。
最后要提醒的是:有些较旧的网路设备无法透过像 FIRMWARE UPDATE 这种方式做更新的话,碰到这种情形,只能花钱换新设备解决,但..不是每家公司都随时有预算可买新设备,所以,AD 升级前要多方考虑,最好将所有往来厂商都找来问清楚,不然,后果可能要自己想办法了。
自己的经验,提供大家参考啰..
微信扫一扫打赏
支付宝扫一扫打赏
