Creșteți nivelul domeniului citiți mai întâi acest lucru, în realworld

Creșteți nivelul domeniului citiți mai întâi acest lucru, în realworld

Deși situația la nivel funcțional mai ridicat ireversibil (în multe cazuri, dar nu întotdeauna), trebuie să fie atent planificate și efectuate numai după ce verifică dacă aplicațiile care se bazează pe serviciile de directoare în activitatea lor, va continua să funcționeze corect după actualizare. Practic, acestea pot fi produse terțe (sau programe de dezvoltare proprie). În acest caz, mediul de laborator pentru testare va fi cea mai bună soluție și, ca o consecință, recomandarea celor mai bune practici Microsoft.

Dacă observați aceste erori după creșterea nivelului funcțional al domeniului, atunci există câteva opțiuni pentru remedierea situației pentru a rezolva eroarea de autentificare.

Opțiunea 1: Reporniți serviciul Centrul de distribuire a cheilor Kerberos pe toate controlerele de domeniu (întreruperea scurtă a serviciului, repornirea)

  • Utilizând linia de comandă:
    • SC \\ ComputerName Stop kdc
    • SC \\ ComputerName Start kdc
  • Opțiunea utilizând Active Directory PowerShell:
    • $ DC = Obțineți-ADDomainController
    • Obțineți-service KDC -ComputerName $ DC | Repornire-Service
  • Prin graficul grafic:
    • Deschideți modulul snap-in Services (services.msc) de pe controlere
    • Selectați serviciul de distribuire a cheilor Kerberos și faceți clic pe Reporniți

Opțiunea 2: Repornirea tuturor controlorilor din pădure (mai multă întrerupere a serviciului, repornirea serverului poate dura mult timp)

De ce este important acest lucru?

Deși impactul tranziției ar trebui să fie zero pentru aplicare, faptul că schimbările de cont parola krbtgt și acest lucru poate duce la un schimb de oprire (sau alte aplicații), care se pot aștepta la o replicare cu succes a modificării parolei în timpul normale soluțiile AD.Rekomenduetsya ciclului de replicare a efectua pașii de mai sus .

Sub capota situației, adăugarea de noi averi AES, prezentată în NT 6.0. Modificările se adaugă numai AES hashing în timp ce schimbarea modului de domeniu funcțional la un nivel superior ('08, „08R2, '12,“ 12R2). În viitor, suportul pentru algoritmii vechi de criptare va fi eliminat și puteți trece din nou pe aceeași rake.

Cunoașterea este jumătate din caz. Probabilitatea ca veți întâlni problema descrisă este mic, dar acum știi cum să o rezolve și să fie pregătiți pentru posibile eventualitățile. Planificați tranziția, creșteți nivelul controlorilor și al domeniului; utilizați toate funcțiile noi. disponibile astăzi, și nu lăsați Exchange pauză!