none
請問一下Server 2012r2 DC 要啟用 KDC 的問題 RRS feed

  • 問題

  • 已經將一部 Server2012r2 加入 Domain function level 是 Server2008 以及 Forest function level 是 Server2003 的網域。
    由於要開始測試使用 Dynamic Access Control(DAC) 功能,有先前至動作要於 DC 上面先執行。
    但是於開啟「Default Domain Controllers Policy」GPO,尋找以下設定:
    Computer Configuration > Policies > Administrative Templates > System > KDC

    下面這一個選項都看不到:
    enable the "KDC support for claims, compound authentication and Kerberos armoring" option

    也有上將最新版的Server2012r2匯入,也一樣。
    是否一定要將 Domain function level 升到 2012?

    2018年12月6日 上午 03:53

解答

  • 您好,

    也就是說要使用DAC功能務必要將 Domain function level 與 Forest function level 升到 Server2012 以上。對嗎?

    Ans.是的

    另外我這裡的 DC(AD) Server 環境目前都是2008r2;要升級 Domain/Forest function level 對 AD 本身的溝通應該沒有問題。

    Ans.建議要將2008r2 DC降級,網域中單純保留2012 R2以上的DC就好,若要混合用可能發生不可預期的問題產生.

    不過是不是還要注意是否有舊的 Server2003 或者更舊的 Server2000 的 AP Server會受到影響?

    Ans.是的

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 hyspy 2018年12月7日 上午 12:47
    2018年12月6日 上午 09:26

所有回覆

  • Hi hyspy,

    您可以參考一下這篇:DAC, missing KDC support for claims, compound authentication, and Kerberos armoring gpo


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

     

    Please remember to click Mark as Answer on the post that helps you.
    This can be beneficial to other community members reading the thread.


    2018年12月6日 上午 06:58
  • Phoebe 您好!我有參考過您提供的方式進行匯入新的AMDX;但是沒有效果~@_@
    2018年12月6日 上午 07:30
  • 您好,

    根據您的環境描述,您要將

    Domain function level 是 Server2008 以及 Forest function level 是 Server2003 的網域,

    建議升級至Domain function level 是 Server2012以上 以及 Forest function level 是 Server2012以上的網域。

    但這是一個工程,您必須將其它的AD 2003及AD 2008網域控制站降級後,

    在Server 2012 R2的網域控制站升級Domain function level 是 Server2012以上 以及 Forest function level 是 Server2012以上的網域。

    最後,可再起一台Server 2012 R2網域控制站作備援.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2018年12月6日 上午 07:51
  • 感謝!所以我再仔細看了一下 KB:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers-to-windows-server-2012-r2-and-windows-server-2012#BKMK_FunctionalLevels

    發現下面這一段話以及後面的描述:

    The new  Windows Server 2012  domain functional level enables one new feature: the KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require  Windows Server 2012  domain functional level.

    也就是說要使用DAC功能務必要將 Domain function level 與 Forest function level 升到 Server2012 以上。對嗎?

    另外我這裡的 DC(AD) Server 環境目前都是2008r2;要升級 Domain/Forest function level 對 AD 本身的溝通應該沒有問題。

    不過是不是還要注意是否有舊的 Server2003 或者更舊的 Server2000 的 AP Server會受到影響?

    2018年12月6日 上午 09:14
  • 您好,

    也就是說要使用DAC功能務必要將 Domain function level 與 Forest function level 升到 Server2012 以上。對嗎?

    Ans.是的

    另外我這裡的 DC(AD) Server 環境目前都是2008r2;要升級 Domain/Forest function level 對 AD 本身的溝通應該沒有問題。

    Ans.建議要將2008r2 DC降級,網域中單純保留2012 R2以上的DC就好,若要混合用可能發生不可預期的問題產生.

    不過是不是還要注意是否有舊的 Server2003 或者更舊的 Server2000 的 AP Server會受到影響?

    Ans.是的

    提供您參考,

    希望對您有所幫助

    謝謝.

    • 已標示為解答 hyspy 2018年12月7日 上午 12:47
    2018年12月6日 上午 09:26