问从2003年到2008年本地领域功能水平提高的风险

EN

我们在我们(非常)大的分布式环境中处理的主要问题--部署2008年DC并准备进入2008年R2森林功能级别--主要与对服务器2008本身的更改有关。这个TechNet页面是一个很好的起点。

我们最大的问题是更老的NAS设备和内部应用程序。在我链接的文章中对此进行了简要的讨论。

只支持数据加密标准(DES)的客户端将无法在运行Windows 2008或Windows 2008 R2的域控制器上建立安全通道。因此，不安全域连接操作将失败，包括由Windows部署服务和Active迁移工具(ADMT)执行的操作。此外，不支持MD5的非Microsoft消息块(SMB)和网络附加存储(NAS)设备也将无法建立安全信道。..。如果必须支持DES，则启用对WindowsNT4.0加密技术的支持。打开“组策略管理单元”，单击“计算机配置”，单击“管理模板”，单击“系统”，然后单击“Netlogon”。右键单击“允许与WindowsNT4.0兼容的加密算法”，单击“属性”，单击“已启用”，然后单击“确定”。

做出这些更改有一些重要的安全权衡，所以最好在可能的地方进行补救。

另外，如果您有相当复杂的网络设计，对2008年以前使用的RPC动态端口的更改可能会给您带来一些痛苦，但这主要是通过更新的防火墙规则来修正的。

对于Exchange2003Exchange2003SP2是否在2008年的SP2林中得到真正的支持，似乎存在一些争论，但根据微软的交换服务器支持矩阵，它是支持的。我不是一个真正的Exchange家伙，所以我在那里帮不了多少忙，但是我的Exchange人员要求我们等到他们能够部署Exchange 2010来避免任何潜在的问题。