3.51 その弐

Windows Server 2003 と Windows NT 3.51 との間で信頼関係を結んで、シームレスに相互のリソースを参照することができるのか?ということで、またしても調べているわけです。
信頼関係自体は結べます。その場合、Windows Server 2003のドメイン コントローラ ポリシーで以下のポリシーを無効にする必要があります。

[セキュリティの設定]-[ローカル ポリシー]-[セキュリティ オプション]
・ ドメイン メンバ:常にセキュリティで保護されたチャネルのデータをデジタル的に暗号化または署名する

で、早速。NT 3.51のローカル グループに2003ドメインのユーザを追加でもしてみようとしたら・・・
「次のエラーが発生したため、選択されたドメインを参照できませんでした: このドメインのドメイン コントローラが見つかりません。」
と。。。名前解決がうまくいってないのか?と思い、2003のWINSを参照するように設定しても、同じでした。。

そこで、Windows Server 2003のリソース キットで調べてみると以下のような記述が

Kerberos V5プロトコルは、Windows 2000フォレストまたはWindows NT環境との間では動作しません。この場合、Windows Server 2000はNTLMプロトコルに基づいてフォレスト間認証を実行します。別々のフォレストに存在する2つのドメイン間に直接的な信頼関係がある場合はNTLM認証を使用できますが、NTLM認証で実行されるのはクライアント認証のみであり、サーバとクライアントとの相互認証は行われません。したがって、フォレストの境界を超えて認証を行う必要がある場合は、Windows 2000よりも前のバージョンのWindowsを実行しているコンピュータを、すべてNTLMv2が使用できるようにアップグレードする必要があります。

NTLMv2・・・?(´ヘ`;)で、調べてみると。。。

知っておくと便利なTips Tips3.Windowsネットワーク ~ログオン認証~ – cool-r32.com

NTLMv2認証はWindowsNTSP4以降のNT系で使用が出来る認証方法です。

とあるではないですか・・・無理なのか?つーか、もう嫌だヽ(;´Д`)ノ


その後、ある先輩に教えを請い

「セキュリティを緩めれば、いけるんじゃない?」

という助言を得る。

同じく、ドメイン コントローラ ポリシーの
[セキュリティの設定]-[ローカル ポリシー]-[セキュリティ オプション]
・ Microsoft ネットワーク サーバー: 常に通信にデジタル署名を行う

が既定で[有効]になっているので、これを[無効]に設定すると、NT 3.51から2003ドメインの情報が無事に参照できるようになりますた。ふぅ・・・

まぁ、何でこんなことすんのか?ってことになるのでしょうが、既存のNT 3.51(ちなみに、もうサポートは切れてます。。。)のリソースを2003ドメインから移行の間に使えるようにしたいという話からきています。NT 3.51のローカル グループに2003ドメインのドメイン グループを追加してやるってのが、一番手っ取り早いかな?って感じですかね。

3.51 その弐

コメントを残す