Ciao a tutti!

in questo nuovo blog volevo trattare come agiscono le chiavi NT4Emulator e NeutralizeNT4Emulator e cosa bisogna tenere presente prima di aggiungere\rimuovere queste chiavi dai Domain Controller\client.

Al seguente link: http://support.microsoft.com/kb/298713 è spiegato nel dettaglio e in maniera esaustiva l’effetto delle chiavi e come eseguire correttamente l’upgrade del primo DC a Windows 2000 Server (e versioni succcessive) in un dominio NT4.

Quello che volevo condividere con voi è come si comportano i client (nel caso specifico un Windows XP SP3 e un client con Windows 7 sp1) a fronte dell’impostazione\rimozione delle chiavi.
Infatti molte persone hanno dubbi in merito cosa comporti l’introduzione di queste impostazioni, ma soprattutto hanno perplessità per quanto riguarda la loro rimozione. Spero che il blog, possa esservi di aiuto!

Di seguito la configurazione del laboratorio su cui ho eseguito i differenti test:

  • 1 Domain Controller con OS Windows Server 2003 Sp2 Enterprise Edition
  • 1 client con OS Windows XP Proessional SP3
  • 1 client con OS Windows 7 Ultimate SP1
  • Doamin name: DMZ.MAGENTA.INT (netBios name DMZ)

 

Configurazione iniziale:

NT4Emulator -> 0 sul DC

NeutralizeNT4Emulator -> NOT CONFIGURED su entrambi i client

********************************************************************************

STEP 1: Valorizzato campo NT4Emulator sul Domain Controller

Configurazione

DC -> NT4Emulator 1

XP,Win7 -> NeutralizeNT4Emulator NOT DEFINED (equivalente a zero)

  • EFFETTO: impossibile accedere ai client con nuove utenze di dominio. Accesso consentito solo con credenziali in cache. RICHIESTO RE-JOIN al dominio usando netbios name. Nel mio caso ho proceduto a fareil re-join al dominio del client Windows XP usando come domain name DMZ (utilizzando DMZ.MAGENTA.INT si ottiente errore). Questo è specificato anche nell’articolo http://support.microsoft.com/kb/298713/en-us:

In this scenario, you must configure each domain controller for Windows NT 4.0 emulation to stop the overloading effect until a sufficient number of the domain controllers have been upgraded. You also have to rejoin all Windows 2000-based and Windows XP-based domain members. In the join procedure, specify a NetBIOS name for the domain. Until these domain members are rejoined, they cannot contact any domain controller in the domain.”

Per quanto riguarda il client Windows 7, questo rimane “fuori dominio” in quanto non è possibile joinare un client con Windows 7 ad un dominio NT4. Di seguito il link alla documentazione ufficiale:http://technet.microsoft.com/en-us/library/ee681706(v=WS.10).aspx

********************************************************************************

STEP 2: Re-Join al dominio Client XP – Impostata chiave di registro NeutralizeNT4Emulator su Windows 7

Configurazione

DC -> NT4Emulator 1

XP -> NeutralizeNT4Emulator NOT DEFINED (equivalente a zero)

Win7->NeutralizeNT4Emulator 1

  • ClientXP: a seguito del re-join tutto riprende a funzionare correttamente. In questo caso, utilizzando i tool Klist e Kerbtray, si vede che non vengono erogati ticket Kerberos. L’autenticazione viene gestita tramite NTLM.
  • Windows7: impostata la chiave di registro NeutralizeNT4Emulator a 1 l’autenticazione ha ripreso a funzionare (senza riavvio) tramite Kerberos (tramite klist e kerbtray si vedono i ticket rilasciati).

********************************************************************************

STEP 3: Impostata chiave NeutralizeNT4Emulator sul Client XP

Configurazione

DC -> NT4Emulator 1

XP -> NeutralizeNT4Emulator 1

Win7->NeutralizeNT4Emulator 1

  • ClientXP: impostata la chiave di registro NeutralizeNT4Emulator a 1, eseguito logoff-logon e  l’autenticazione ha ripreso a funzionare tramite Kerberos (verificato anche tramite kerbtray e klist) 

 

********************************************************************************

STEP 4: Rimossa la chiave NT4Emulator dal DC (settata a zero)

Configurazione

DC -> NT4Emulator 0

XP -> NeutralizeNT4Emulator 1

Win7->NeutralizeNT4Emulator 1

  • Entrambi i client hanno mantenuto i precedenti ticket kerberos, senza generare nuove richieste.

Riassumendo: 

il join al dominio è richiesto quando sul Domain Controller viene abilitata l’opzione NT4Emulator (1) e sul client la chiave NeutralizeNT4Emulator è 0 o non definita.

Quindi se vi doveste trovare nella situazione in cui sui DC avete l’opzione NT4Emulator (1) abilitata e:

 

  • alcuni client con impostata la chiave di registro NeutralizeNT4Emulator  1-> chiamerò questi client-A
  • un numero indefinito di client con NeutralizeNT4Emulator NOT DEFINED -> chiamerò questi client-B

a seguito dell’impostazione a 0 della chiave NT4Emulator dovremmo aspettarci i seguenti comportamenti (in quanto verificati nel mio laboratorio):

  • client-A: questi client, non subiscono cambiamenti; a seguito della modifica sul DC, continuano a mantenere i ticket kerberos già rilasciati in precedenza (anche a seguito del riavvio dei DC – normale funzionamento Kerberos)
  • client-B: premesso che questi client abbiano già eseguito il rejoin al dominio, continuano ad utilizzare NTLM finchè non viene riavviato il client o non viene eseguito il logoff. Questi client, nel momento in cui viene impostata la chiave di registro sul DC, non richiedono in maniera istantanea il ticket kerberos, ma a seguito del logoff o del riavvio.

Per il momento è tutto!

Ciao alla prossima!

Francesco Castano
Support Engineer
Microsoft Enterprise Platform Support