Gestion du problème de la transition des contrôleurs de domaines NT vers Active Directory

La période de transition d’un domaine Windows NT vers l’annuaire Active Directory est une phase qui peut varier dans le temps en fonction de l’environnement technique et des contraintes de temps et de budget. Généralement, les migrations se déroulent rapidement. Cependant, dans certains cas, la période de transition peut laisser apparaître quelques problèmes comme celui évoqué ci-après.

Lorsque des ordinateurs fonctionnant sous Windows 2000 ou une version ultérieure s’authentifient dans un domaine Windows NT, alors ils utilisent les authentifications Windows NT de type NTLM Challenge Response (v1 ou v2) puisque, bien entendu, il n’est pas possible d’utiliser l’authentification Kerberos v5 disponible grâce aux contrôleurs de domaine Active Directory.

Cela signifie évidemment que ces postes de travail peuvent se connecter au réseau en sollicitant les contrôleurs de domaine secondaire fonctionnant sous Windows NT 4.0.

Cependant quand un domaine fait l’objet d’une mise à niveau vers l’annuaire Active Directory, un client Kerberos tel que Windows 2000, Windows XP ou Windows Vista désactive automatiquement l’authentification NTLM pour ne plus être capable que de réaliser des authentifications Kerberos. Ce terme est bien sûr très positif en termes de sécurité ...