Intégration PC windows 2000 dans domaine DC windows server 2016

Intégration PC windows 2000 dans domaine DC windows server 2016 - Win NT/2K/XP - Windows & Software

Marsh Posté le 13-01-2023 à 10:39:52    

Bonjour à tous,  
Il est impossible d'intégrer un PC windows 2000 dans mon domaine "mondomaine.local", le controleur de domaine est sous Windows server 2016, lorsque j'effectue l'intégration dans le domaine, j'ai le message d'erreur suivant :  
"The following error occurred validating the name "DomainName.com",
This condition may be caused by a DNS lookup problem. For infomation about troubleshooting common DNS lookup"
 
Le PC à bien les bonne IP et IP dns, et j'arrive bien à pinguer la passerelle, aussi le reverse DNS est correctement configurer de plus l'objet computer est créé en amont sur l'AD.  
 
Si vous avez des choses à suggérer je suis preneur.  
 
Merci.

Reply

Marsh Posté le 13-01-2023 à 10:39:52   

Reply

Marsh Posté le 13-01-2023 à 11:19:40    

Windows 2000!
 
Sauf usage bien spécifique, ce genre de truc ne devrait plus exister, on est en 2023, plus en 2003.

Reply

Marsh Posté le 13-01-2023 à 11:35:13    

Regla88 a écrit :

Windows 2000!
 
Sauf usage bien spécifique, ce genre de truc ne devrait plus exister, on est en 2023, plus en 2003.


+ 1.
 
Windows 2000 est sorti début 2000, et ne doit plus être pris en charge depuis environ 2007 a priori. De fait, il est heureux qu’il ne soit plus possible d’intégrer cette passoire à failles de sécurité dans un domaine ! C’est le contraire qui aurait été effarant.
 
Laisse ce truc reposer en paix.

Reply

Marsh Posté le 13-01-2023 à 12:03:25    

Bonjour,  
Malheuresement c'est pour un besoin de production temporaire afin de ne pas avoir notre machine en standalone mais sur le domaine cloisoné dans un vlan avec des outils de monitoring du poste, le temps de 6 mois pour ne pas bloquer la production.

Reply

Marsh Posté le 13-01-2023 à 15:12:13    

La catégorie pro c'est par ici : https://forum.hardware.fr/hfr/syste [...] ujet-1.htm
 
Mais intégrer une machine aussi ancienne à un AD récent n'est pas une bonne idée (par défaut ça ne fonctionnera pas).
Il vaudrait mieux remonter un AD 2000, en restaurant celui d'époque  sur un réseau séparé dans l'idéal...


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 13-01-2023 à 17:25:48    

nex84 a écrit :


Mais intégrer une machine aussi ancienne à un AD récent n'est pas une bonne idée (par défaut ça ne fonctionnera pas).

 

Ben figure toi que ça fonctionne sans quasiment rien modifier... je me suis amusé y'a quelques mois à intégrer 2000 dans un AD 2019/2022 et ça a marché du premier coup. Bizarrement c'est XP qui avait des problèmes à cause de kerberos qui est buggé (il faut installer une MAJ spécifique).

 

Les deux seuls prérequis :
-SMBv1 activé
-cipher RC4 non désactivé

 

Par contre avec la KB5019966  qui configure AES par défaut, je n'ai pas retesté le comportement. Y'a sans doute des effets de bord vu qu'une MAJ hors bande à été publiée juste après...

Message cité 1 fois
Message édité par renaud072 le 13-01-2023 à 17:35:57

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 13-01-2023 à 19:29:57    

Trit' a écrit :


Windows 2000 est sorti début 2000, et ne doit plus être pris en charge depuis environ 2007 a priori.


 
13 juillet 2010 [:aloy]  


---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 13-01-2023 à 20:25:21    

renaud072 a écrit :

13 juillet 2010 [:aloy]


Merci. Je me rappelais plus de la date exacte, mais c’est vrai que ça court sur des périodes de 10 ans.

Reply

Marsh Posté le 14-01-2023 à 02:55:57    

Je viens de faire quelques tests et si le windows server 2016 a été MAJ avec la KB5019964 (novembre 2022) ou ultérieur, je suis au regret d'annoncer que les possibilités de fonctionnement sont minces.

 

L'adhésion au domaine fonctionne toujours, par contre impossible de se loguer. J'obtiens le même message comme lorsque le RC4_HMAC_MD5 est désactivé, car d'après ce que j'ai compris les tickets doivent êtres délivrés avec AES obligatoirement. J'ai aussi testé l'activation de DES sur le compte utilisateur, sans succès non plus (mais c'était déjà plus supporté par défaut depuis un bon bout de temps donc rien d'étonnant).

 

Il ne reste qu'une ultime solution : NTLM (ça bascule dessus si kerberos échoue). Si vous ne l'avez pas désactivé ça devrait marcher.

 

Pour le message d'erreur, y'a clairement un problème de DNS, je l'ai eu involontairement aussi en tapant mon autre nom de domaine dont le DC n'était pas en fonctionnement. En l’occurrence mon DNS principal (qui lui forward les requêtes) renvoie un Server failure.


Message édité par renaud072 le 14-01-2023 à 03:01:15

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 14-01-2023 à 12:45:11    

Tu peux faire ce genre de manip en diminuant significativement la sécurité de tout ton domaine. Et courant octobre, tu ne pourras même plus le faire.
Quand à l'isoler dans un VLAN dédié, ça ne sert pas à grand chose, vu que tu dois laisser passer des protocoles type SMB1...la question est qu'est-ce qui pourrait justifier une utilisation en domaine et pas en workgroup.

Reply

Marsh Posté le 14-01-2023 à 12:45:11   

Reply

Marsh Posté le 14-01-2023 à 13:46:16    

Autres solutions  :

 

-DC "proxy" genre un 2016 sans la MAJ de novembre, mais ça fait pas mal de boulot en plus pour 6 mois
-DC autonome juste pour le poste, isolé du reste (comme suggéré plus haut)
-Laisser en workgroup, et se débrouiller avec gpedit


Message édité par renaud072 le 14-01-2023 à 13:50:43

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 15-01-2023 à 14:42:58    

renaud072 a écrit :


 
Ben figure toi que ça fonctionne sans quasiment rien modifier... je me suis amusé y'a quelques mois à intégrer 2000 dans un AD 2019/2022 et ça a marché du premier coup. Bizarrement c'est XP qui avait des problèmes à cause de kerberos qui est buggé (il faut installer une MAJ spécifique).
 
Les deux seuls prérequis :  
-SMBv1 activé
-cipher RC4 non désactivé
 
Par contre avec la KB5019966  qui configure AES par défaut, je n'ai pas retesté le comportement. Y'a sans doute des effets de bord vu qu'une MAJ hors bande à été publiée juste après...


 

nebulios a écrit :

Tu peux faire ce genre de manip en diminuant significativement la sécurité de tout ton domaine. Et courant octobre, tu ne pourras même plus le faire.
Quand à l'isoler dans un VLAN dédié, ça ne sert pas à grand chose, vu que tu dois laisser passer des protocoles type SMB1...la question est qu'est-ce qui pourrait justifier une utilisation en domaine et pas en workgroup.


This.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 27-01-2023 à 02:08:59    

J'ai fait il y a quelques jours des tests d’intégration et si l'auteur ne semble pas être revenu ici, je laisse ça pour les autres :

 

L'intégration sur un DC 2016 fonctionne bien (sans la MAJ de novembre 2022 bien évidemment), excepté l'erreur 1789 LookupAccountName lorsque on lance un gpresult. Même comportement sur 2012 R2, mais ça n'a pas l'air d'affecter le login ou l'application des GPO (je n'ai pas essayé des choses plus poussées). Concernant 2019 et 2022, c'est par contre mort contrairement à ce que je disais avant, si le login fonctionne, les GPO ne sont plus appliquées (je n'avais pas vérifié).  Du coup, la meilleur solution est à mon avis le DC proxy.

 

J'ai monté un lab à base de pfsense, 2008 R2 (dernière version à prendre entièrement en charge 2000 après recherche) et un 2022 avec des règles de pare-feu strict entre les deux : seul le trafic entre le 2022 et le 2008 R2 est autorisé limitant grandement les risques d'attaques extérieures, tout comme 2000 ne peut parler qu'au 2008 R2. Ça fonctionne parfaitement.

 

-Les GPO sont bien appliquées et répliquées
-Gpresult ne renvoi plus l'erreur 1789
-Sur 2022, le SMBv1 et le RC4 sont désactivés
-On peut aussi désactiver le NTLM tout comme NetBIOS (et sur 2000 ça accélère le démarrage), je recommande de le faire au niveau DHCP comme ça, c'est automatique.

Message cité 1 fois
Message édité par renaud072 le 27-01-2023 à 02:19:07

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 27-01-2023 à 10:44:23    

renaud072 a écrit :

J'ai fait il y a quelques jours des tests d’intégration et si l'auteur ne semble pas être revenu ici, je laisse ça pour les autres


Il s’est pas inscrit exprès pour demander ça, donc peut-être qu’il passe de temps à autre mais ne ressent pas le besoin de poster ?
 
Mais merci !

Reply

Marsh Posté le 27-01-2023 à 16:06:45    

Il a un problème d'intégration (à priori assez urgent) mais ne donne aucune nouvelles, donc soit il a trouvé la solution soit l'idée à été abandonnée... ça coûte quoi de laisser un petit message ?


Message édité par renaud072 le 27-01-2023 à 16:08:04

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed