Проблемы Upgrade c 2k serv in 2k3

[3t0n]

Хочу произвести апгрейд доменного контроллера 2000as до 2003
некоторые проблемы совместимости при проверке решил, осталось 2
- не могу удалить службу fax service.
- windows 95 and windows NT 4.0 interoperability issues (здесь в деталях описывается проблема с политиками безопасности, но я таких пунктов не могу найти)


Windows 95 and Windows NT 4.0 interoperability issues (Read Details!)
=====================================================================

Windows 95 and Windows NT 4.0 interoperability issues.

SUMMARY
Windows Server 2003 Domain Controllers implement default security settings that help prevent Domain Controller communications from being hijacked or otherwise tampered with. Certain downlevel Windows systems are not capable of meeting these security requirements and thus cannot communicate with Windows Server 2003 Domain Controllers without administrative intervention. Similarly, non-Windows systems that are not capable of meeting these security requirements will not be able to communicate with Windows Server 2003 Domain Controllers by default.

Affected Windows systems include Windows for Workgroups, Windows 95 machines that do not have the DS client pack installed, Windows NT 4.0 machines prior to Service Pack 4, and devices, including Pocket PC 2002 and previous versions, based on the Windows CE .NET version 4.1 or earlier. Affected non-Windows systems may include Apple Mac OS X and SAMBA clients.

SMB SIGNING
By default, Windows Server 2003 Domain Controllers require that all clients digitally sign SMB-based communications. The SMB protocol is used to provide file sharing, print sharing, various remote administration functions, and logon authentication for some downlevel clients. Windows for Workgroups, Windows 95 machines without the DS Client Pack, Windows NT 4.0 machines prior to Service Pack 3, and devices, including Pocket PC 2002 and previous versions, based on the Windows CE .NET version 4.1 or earlier are not capable of performing SMB signing and therefore cannot connect to Windows Server 2003 Domain Controllers by default. Similarly, non-Windows systems that implement the SMB protocol without supporting SMB signing will not be able to connect to Windows Server 2003 Domain Controllers by default. For example, Apple Mac OS X and other SAMBA clients may not support SMB signing. Check with your SMB client vendor to determine whether SMB signing is supported. If such clients cannot be upgraded to support SMB signing, then the SMB signing requirement can be removed by disabling the following security policy in the Default Domain Controller GPO on the domain controllers OU:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Microsoft Network Server: Digitally sign communications (always)

Detailed instructions on how to modify this setting are provided below.

Warning: Disabling this security setting exposes all of your Domain Controller communications to "man in the middle" types of attacks. Therefore it is highly recommended that you upgrade your clients rather than disabling this security setting. The DS Client Pack, necessary for Windows 95 clients to perform SMB signing, can be obtained from the \clients\win9x sub-directory of the Windows 2000 Server CD.

SECURE CHANNEL SIGNING
By default, Windows Server 2003 Domain Controllers require that all secure channel communications be either signed or encrypted. Secure channels are used by Windows NT-based machines for communications between domain members and domain controllers as well as between domain controllers that have a trust relationship. Windows NT 4.0 machines prior to Service Pack 4 are not capable of signing or encrypting secure channel communications. If Windows NT 4.0 machines prior to SP4 must join this domain, or this domain must trust other domains that contain pre-SP4 Domain Controllers, then the secure channel signing requirement can be removed by disabling the following security policy in the Default Domain Controller GPO:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain Member: Digitally encrypt or sign secure channel data (always)

Detailed instructions on how to modify this setting are provided below.

Warning: Disabling this security setting exposes secure channel communications to "man in the middle" types of attacks. Therefore it is highly recommended that you upgrade your Windows NT 4.0 machines rather than disabling this security setting.

MODIFYING THE DEFAULT DOMAIN CONTROLLER GPO
To ensure all domain controllers are enforcing the same SMB and secure channel signing requirements, define the corresponding security settings in the Default Domain Controller GPO as follows:
1. Log on to a machine that has the Active Directory Users and Computers Snap-in installed.
2. Start --> Run --> DSA.MSC
3. Expand the Domain that contains your Windows Server 2003 Domain Controllers.
4. Right-click on the Domain Controllers OU and then click Properties.
5. Click the Group Policy tab, select the "Default Domain Controller Policy", and then click Edit.
6. Expand Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options
7. In the result pane, double click the security option you want to modify. For example, Microsoft Network Server: Digitally sign communications (always) or Domain Member: Digitally encrypt or sign secure channel data (always).
8. Check the "Define this policy setting" box.
9. Disable or Enable the security setting as desired, and then select OK.


примерно такие (по названию) политики я изменил на enabled, но от этого ничего не поменялось - установка прерывается до решения этих проблем, эти же политики поставил в дизаблед, ничего не изменилось

помогите разобраться

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Volkoff]

Вы поверх существующего единственного контроллера на вин2к пытаетесь накатить 2к3R2? Не получится - схемы различаются. Даже при вводе дополнительного контроллера 2003 в среде 2000 надо проводить domainprep/forestprep, поищи эти файлики на компакте 2003, там же должна быть инструкция - насколько помню domainprep надо запускать дважды с разными ключами. Вообще я бы порекомендовал если есть железо добавить доп. контроллер на 2к3 и потом уже демотать 2000 и переводить в натив режим.

[3t0n]

Вы поверх существующего единственного контроллера на вин2к пытаетесь накатить 2к3R2? Не получится - схемы различаются. Даже при вводе дополнительного контроллера 2003 в среде 2000 надо проводить domainprep/forestprep, поищи эти файлики на компакте 2003, там же должна быть инструкция - насколько помню domainprep надо запускать дважды с разными ключами. Вообще я бы порекомендовал если есть железо добавить доп. контроллер на 2к3 и потом уже демотать 2000 и переводить в натив режим.

domainprep/forestprep - это не файлики, а ключи для файлика adprep который запускал и готовил домен и лес со 2 сд, суть проблемы
при winnt32 /checkupgradeonly вываливает 2 несовместимости которые нада поправить, я их описал, думаю их просто проигнорировать, но надо сначало на виртуале попробывать

[snorlov]

1. по поводу факса, ты его на 2000 серваке используешь? я думаю нет, на всякий случай останови эту службу.
2. по поводу windows 95 and windows NT 4.0 interoperability issues, тебя в сети 95/nt4 есть? я думаю уже нет.
Ну так чего беспокоиться...

[snorlov]

Да вот еще 2000as можно апрейдить только 2003AS, я лично переходил с Nt4-> w2k AS -> W2k3 AS, т.е. занимался только обновлением софта на компьютере, и NT4 миграция на w2k3, здесь из одного домена переносил все в другой, компьютеры были разные...

[Volkoff]

В приведенной статье описываются проблемы взаимодействия 2003 сервака с 95 и NT4 клиентами, если таковых нет в сети, это можно смело игнорировать.

[3t0n]

буду делать проще, т.к там еще Exh2k надо обновлять ддо апдейта до win2k3, установил R2 на новом сервере, подготовлю лес с доменом и сделаю доп контроллер на новом в режиме 2к на котором потом подниму Exch2k3 и среплицирую и перенастрою на отправку и прием, а 2k c Exch2k в даун, и нов серв в режим 2к3, в общем Волков был прав