NT4 als Domänenmitglied in Windows Server 2012 R2

Autor: Mark Heitbrink - vom 11.12.2013 - Kategorie(n): Anleitungen

Offiziell ist die Tür zu. NT4 wird in einem aktuellen Active Directory ab 2008R2 nicht mehr unterstützt. Zu einer NT4 Domäne kann keine Vertrauensstellung mehr aufgebaut werden, da der Sichere Kanal (Secure Channel) nicht länger über NTLM/NTLMv2 hergestellt werden kann, sondern Kerberos erfordert.

The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default
http://support.microsoft.com/kb/942564/en-us

Selbst das Hinzufügen einer NT4 Workstation zur Domäne kann Probleme bereiten, wenn sie frisch installiert und nicht von einer vorherigen Version 2000/2003/2008 aktualisiert wurde.

Es scheitert an einer einzigen Richtlinie, der per Default AKTIVIERT ist und deaktiviert werden muss.
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) = Deaktiviert


Irritierenderweise, werden die Domänen-Admins und die Domänen-Benutzer als "DOMÄNENAME\Konto unbekannt" in der jeweiligen lokalen Benutzergruppe aufgeführt.

Lösung für das Problem: Danke an Kai Wilke
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen = Aktiviert


(klick-vergrößern)

Desweiteren, sollte man die beiden folgenden Links noch betrachten:
Zugriff von DOS, 9x oder Linux auf einen Windows 2003 / 2008 / 2008 R2 / 2012 Server
SMB Signing - Kommunikation digital signieren

Es gibt genügend Sachzwänge, die Microsoft nicht sehen möchte, die immer noch zwingend NT4 erfordern.