Problemas mezclando controladores de dominio de Windows Server 2003 con controladores de dominio de Windows Server 2012 R2

Actualización (2015/1/22): Ya hay disponible un hotfix en http://support.microsoft.com/kb/2989971

Estoy trabajando en un proyecto donde estamos haciendo una extensión de red en Microsoft Azure a través de tunel Site to Site y entre las primeras tareas a llevar a cabo es replicar un par de controladores de dominio en máquinas de Azure.

El dominio se encuentra en modo funcional de Windows Server 2003 y los servidores son, evidentemente, Windows Server 2003 (en efecto, ¡están fuera de soporte!). Más allá de lo poco recomendable que es a día de hoy mantener sistemas con Windows XP o Windows Server 2003, me he topado con este post del blog oficial del equipo de soporte de AD DS.

El problema consiste en un fallo en la autenticación por Kerberos que ocasiona que los usuarios no puedan iniciar sesión de forma aleatoria. El problema aparece si tenemos el siguiente cóctail:

  • Controladores de dominio con Windows Server 2003.
  • Controladores de dominio con Windows Server 2012 R2.
  • Ambos tipos de controladores sirviendo para el mismo dominio.

El problema se produce por el cifrado utilizado a la hora de generar los hashes de las contraseñas en la autenticación por Kerberos, debido a que:

  • Los DC con Windows Server 2003 no soportan usar AES para generar los hashes. Estos utilizan DES.
  • Los DC con Windows Server 2012 R2 no soportan usar DES para generar los hashes. Estos utilizan AES.

Algunas de las posibles soluciones son:

  • Utilizar Windows Server 2012 para nuestros controladores de dominio, que no está afectado por el problema.
  • Desactivar el cifrado por AES en el apartado de “Tipos de cifrado soportados” en las GPO. Esto hará que los controladores de dominio usen RC4-HMAC que está soportado tanto en 2003 como en 2012 y 2012 R2.
  • Otras opciones detalladas en el artículo original.

Mientras tanto, Microsoft ha confirmado oficialmente que están trabajando en un hotfix para el problema.

Enlace relacionado: It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *