我们正在将所有 Windows 2003 域控制器替换为 Windows 2008 R2 域控制器。完成后,我们希望将域功能级别(我们的林和域的级别)从2003 混合模式到2008 原生模式。
我们的 Exchange 环境已经是 2010 了。我们还有许多其他成员服务器仍在运行 Windows 2003。我们还有一些使用 AD 进行身份验证的 Intranet 服务器和其他 .NET/IIS 应用程序。最后,我们面向公众的 WEB 服务器使用 IIS 共享配置功能并从 NAS 设备中提取配置,再次使用 AD 进行身份验证。
我的问题如下:如果/当我们将林/域级别提升到 2008 本机模式时,我们的服务器(特别是面向公众的 WEB 服务器)是否存在任何已知问题或风险需要注意?
谢谢。
答案1
我们在部署 2008 DC 并准备进入 2008 R2 森林功能级别的 (非常) 大型分布式环境中处理的主要问题大多与 Server 2008 本身的变化有关。 此 TechNet 页面是一个很好的起点。
我们最大的问题是较旧的 NAS 设备和内部应用程序。我链接的文章中对此进行了简要讨论。
仅支持数据加密标准 (DES) 的客户端将无法在运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上与 Netlogon 建立安全通道。因此,不安全的域加入操作将失败,包括由 Windows 部署服务和 Active Directory 迁移工具 (ADMT) 执行的操作。此外,不支持 MD5 的非 Microsoft 服务器消息块 (SMB) 和网络附加存储 (NAS) 设备也将无法建立安全通道。
...
如果必须支持 DES,请启用对 Windows NT 4.0 加密的支持。打开组策略管理管理单元,单击“计算机配置”,单击“管理模板”,单击“系统”,然后单击“Netlogon”。右键单击“允许与 Windows NT 4.0 兼容的加密算法”,单击“属性”,单击“已启用”,然后单击“确定”。
进行这些更改会带来一些重大的安全损失,因此最好在可能的情况下进行补救。
另外,如果你有一个相当复杂的网络设计2008 年使用的 RPC 动态端口的变化可能会给您带来一些麻烦,但这基本上可以通过更新防火墙规则来解决。
关于 Exchange 2003 SP2 是否真的在 2008 R2 森林中受支持,但根据微软的Exchange 服务器支持矩阵是的。我并不是 Exchange 方面的专家,因此在这方面无法为您提供太多帮助,但我的 Exchange 人员要求我们等到他们可以部署 Exchange 2010 以避免任何潜在问题。