提升域function级别的风险从2003年起混合到2008年的本土

我们正在用Windows 2008 R2控制器replace我们所有的Windows 2003域控制器。 一旦完成,我们想把域function级别(我们的森林和域)从2003混合模式提升到2008本地模式

我们的Exchange环境已经在2010年。我们还有许多其他成员服务器仍在运行Windows 2003.我们也有一些内联网服务器和其他.NET / IIS应用程序,我们用AD进行身份validation。 最后,我们面向公众的WEB服务器使用IIS共享configurationfunction,并从NAS设备中提取configuration,再次使用AD进行身份validation。

我的问题如下: 当我们将森林/域级别提升到2008本地模式时,是否有任何已知的问题或风险需要我们的服务器知道,特别是面向公众的WEB服务器?

谢谢。

我们在部署2008 DC的(非常)大型分布式环境中处理的主要问题,准备进入2008 R2的森林function级别,主要与Server 2008本身的变化有关。 此TechNet页面是一个很好的开始。

我们最大的问题是旧的NAS设备和内部应用程序。 在我链接的文章中简要讨论。

仅支持数据encryption标准(DES)的客户端将无法在运行Windows Server 2008或Windows Server 2008 R2的域控制器上与Netlogonbuild立安全通道。 因此,不安全的域join操作将失败,包括由Windows部署服务和Active Directory迁移工具(ADMT)执行的操作。 此外,不支持MD5的非Microsoft服务器消息块(SMB)和networking附加存储(NAS)设备也将无法build立安全通道。

如果您必须支持DES,请启用对Windows NT 4.0encryption的支持。 打开组策略pipe理pipe理单元,单击计算机configuration,单击pipe理模板,单击系统,然后单击Netlogon。 用鼠标右键单击允许与Windows NT 4.0兼容的encryptionalgorithm,单击属性,单击启用,然后单击确定。

进行这些更改具有一些重大的安全性权衡,所以最好在可能的情况下进行补救。

另外,如果你有一个相当复杂的networkingdevise, 到2008年使用的RPCdynamic端口的变化可能会引起你一些悲伤,但是这大部分是通过更新的防火墙规则修复的。

对于2008 R2林中是否真正支持Exchange 2003 SP2,似乎存在一些争议,但根据微软的Exchange Server可支持性matrix,它就是如此。 我不是一个真正的Exchange人员,所以我在那里帮不了你,但是我的Exchange人员要求我们等到可以部署Exchange 2010以避免任何潜在的问题。