Gestion du problème de la transition des contrôleurs de domaines NT
vers Active Directory
La période de transition d’un domaine Windows NT vers l’annuaire
Active Directory est une phase qui peut varier dans le temps en fonction
de l’environnement technique et des contraintes de temps et de budget.
Généralement, les migrations se déroulent rapidement. Cependant, dans
certains cas, la période de transition peut laisser apparaître quelques
problèmes comme celui évoqué ci-après.
Lorsque des ordinateurs fonctionnant sous Windows 2000 ou une
version ultérieure s’authentifient dans un domaine Windows NT, alors ils
utilisent les authentifications Windows NT de type NTLM Challenge Response
(v1 ou v2) puisque, bien entendu, il n’est pas possible d’utiliser
l’authentification Kerberos v5 disponible grâce aux contrôleurs de domaine
Active Directory.
Cela signifie évidemment que ces postes de travail peuvent se
connecter au réseau en sollicitant les contrôleurs de domaine secondaire
fonctionnant sous Windows NT 4.0.
Cependant quand un domaine fait l’objet d’une mise à niveau vers
l’annuaire Active Directory, un client Kerberos tel que Windows 2000,
Windows XP ou Windows Vista désactive automatiquement l’authentification
NTLM pour ne plus être capable que de réaliser des authentifications
Kerberos. Ce terme est bien sûr très positif en termes de sécurité ...