Bonjour à tous,  
Il est impossible d'intégrer un PC windows 2000 dans mon domaine "mondomaine.local", le controleur de domaine est sous Windows server 2016, lorsque j'effectue l'intégration dans le domaine, j'ai le message d'erreur suivant :  
"The following error occurred validating the name "DomainName.com",
This condition may be caused by a DNS lookup problem. For infomation about troubleshooting common DNS lookup"
 
Le PC à bien les bonne IP et IP dns, et j'arrive bien à pinguer la passerelle, aussi le reverse DNS est correctement configurer de plus l'objet computer est créé en amont sur l'AD.  
 
Si vous avez des choses à suggérer je suis preneur.  
 
Merci.

Windows 2000!
 
Sauf usage bien spécifique, ce genre de truc ne devrait plus exister, on est en 2023, plus en 2003.

+ 1.
 
Windows 2000 est sorti début 2000, et ne doit plus être pris en charge depuis environ 2007 a priori. De fait, il est heureux qu’il ne soit plus possible d’intégrer cette passoire à failles de sécurité dans un domaine ! C’est le contraire qui aurait été effarant.
 
Laisse ce truc reposer en paix.

Bonjour,  
Malheuresement c'est pour un besoin de production temporaire afin de ne pas avoir notre machine en standalone mais sur le domaine cloisoné dans un vlan avec des outils de monitoring du poste, le temps de 6 mois pour ne pas bloquer la production.

La catégorie pro c'est par ici : https://forum.hardware.fr/hfr/syste [...] ujet-1.htm
 
Mais intégrer une machine aussi ancienne à un AD récent n'est pas une bonne idée (par défaut ça ne fonctionnera pas).
Il vaudrait mieux remonter un AD 2000, en restaurant celui d'époque  sur un réseau séparé dans l'idéal...

Ben figure toi que ça fonctionne sans quasiment rien modifier... je me suis amusé y'a quelques mois à intégrer 2000 dans un AD 2019/2022 et ça a marché du premier coup. Bizarrement c'est XP qui avait des problèmes à cause de kerberos qui est buggé (il faut installer une MAJ spécifique).

Les deux seuls prérequis :
-SMBv1 activé
-cipher RC4 non désactivé

Par contre avec la KB5019966  qui configure AES par défaut, je n'ai pas retesté le comportement. Y'a sans doute des effets de bord vu qu'une MAJ hors bande à été publiée juste après...

 
13 juillet 2010  

Merci. Je me rappelais plus de la date exacte, mais c’est vrai que ça court sur des périodes de 10 ans.

Je viens de faire quelques tests et si le windows server 2016 a été MAJ avec la KB5019964 (novembre 2022) ou ultérieur, je suis au regret d'annoncer que les possibilités de fonctionnement sont minces.

L'adhésion au domaine fonctionne toujours, par contre impossible de se loguer. J'obtiens le même message comme lorsque le RC4_HMAC_MD5 est désactivé, car d'après ce que j'ai compris les tickets doivent êtres délivrés avec AES obligatoirement. J'ai aussi testé l'activation de DES sur le compte utilisateur, sans succès non plus (mais c'était déjà plus supporté par défaut depuis un bon bout de temps donc rien d'étonnant).

Il ne reste qu'une ultime solution : NTLM (ça bascule dessus si kerberos échoue). Si vous ne l'avez pas désactivé ça devrait marcher.

Pour le message d'erreur, y'a clairement un problème de DNS, je l'ai eu involontairement aussi en tapant mon autre nom de domaine dont le DC n'était pas en fonctionnement. En l’occurrence mon DNS principal (qui lui forward les requêtes) renvoie un Server failure.

Tu peux faire ce genre de manip en diminuant significativement la sécurité de tout ton domaine. Et courant octobre, tu ne pourras même plus le faire.
Quand à l'isoler dans un VLAN dédié, ça ne sert pas à grand chose, vu que tu dois laisser passer des protocoles type SMB1...la question est qu'est-ce qui pourrait justifier une utilisation en domaine et pas en workgroup.

Autres solutions  :

-DC "proxy" genre un 2016 sans la MAJ de novembre, mais ça fait pas mal de boulot en plus pour 6 mois
-DC autonome juste pour le poste, isolé du reste (comme suggéré plus haut)
-Laisser en workgroup, et se débrouiller avec gpedit

This.

J'ai fait il y a quelques jours des tests d’intégration et si l'auteur ne semble pas être revenu ici, je laisse ça pour les autres :

L'intégration sur un DC 2016 fonctionne bien (sans la MAJ de novembre 2022 bien évidemment), excepté l'erreur 1789 LookupAccountName lorsque on lance un gpresult. Même comportement sur 2012 R2, mais ça n'a pas l'air d'affecter le login ou l'application des GPO (je n'ai pas essayé des choses plus poussées). Concernant 2019 et 2022, c'est par contre mort contrairement à ce que je disais avant, si le login fonctionne, les GPO ne sont plus appliquées (je n'avais pas vérifié).  Du coup, la meilleur solution est à mon avis le DC proxy.

J'ai monté un lab à base de pfsense, 2008 R2 (dernière version à prendre entièrement en charge 2000 après recherche) et un 2022 avec des règles de pare-feu strict entre les deux : seul le trafic entre le 2022 et le 2008 R2 est autorisé limitant grandement les risques d'attaques extérieures, tout comme 2000 ne peut parler qu'au 2008 R2. Ça fonctionne parfaitement.

-Les GPO sont bien appliquées et répliquées
-Gpresult ne renvoi plus l'erreur 1789
-Sur 2022, le SMBv1 et le RC4 sont désactivés
-On peut aussi désactiver le NTLM tout comme NetBIOS (et sur 2000 ça accélère le démarrage), je recommande de le faire au niveau DHCP comme ça, c'est automatique.

Il s’est pas inscrit exprès pour demander ça, donc peut-être qu’il passe de temps à autre mais ne ressent pas le besoin de poster ?
 
Mais merci !

Il a un problème d'intégration (à priori assez urgent) mais ne donne aucune nouvelles, donc soit il a trouvé la solution soit l'idée à été abandonnée... ça coûte quoi de laisser un petit message ?