Artikel-ID: 325465 - Geändert am: Montag, 29. Oktober 2007 - Version: 16.2

Windows 2000-Domänencontroller benötigen SP3 oder höher bei Verwendung der Windows Server 2003-Verwaltungsprogramme

Produkte anzeigen, auf die sich dieser Artikel bezieht
SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. Für Sie möglicherweise nicht relevante Artikelinhalte wurden deaktiviert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
325465  (http://support.microsoft.com/kb/325465/EN-US/ ) Windows 2000 domain controllers require SP3 or later when using Windows Server 2003 administration tools
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/DE/ ) Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Standardmäßig signieren und verschlüsseln die Active Directory-Verwaltungsprogramme der Windows Server 2003-Familie sämtlichen Datenverkehr über LDAP (Lightweight Directory Access Protocol). Das Signieren von LDAP-Datenverkehr gewährleistet, dass die verpackten Daten aus einer bekannten Quelle stammen, nicht manipuliert wurden und nicht im Klartext über Stellen der Leitung gehen, wo sie von Dienstprogrammen zur Netzwerkablaufverfolgung wie dem Netzwerkmonitor gelesen werden können. Active Directory-Verwaltungsprogramme können außerdem verhandeln, indem anstelle der LDAP-Signierung das NTLM-Authentifizierungsprotokoll verwendet wird. Es sind zwei Szenarien denkbar, bei denen eine NTLM-Authentifizierung veranlasst wird:
  • Die Administration von Windows 2000-Domänencontrollern, die sich in einer externen Gesamtstruktur befinden, die über Vertrauensstellungen früherer Versionen verbunden ist.
  • Das Konzentrieren eines MMC-Snap-Ins auf einen bestimmten Domänencontroller, der über seine IP-Adresse referenziert ist. Beispiel: Sie klicken auf Start, auf Ausführen und geben anschließend dsa.msc /server=x.x.x.x ein, wobei x.x.x.x für die IP-Adresse des Domänencontrollers steht.
Damit die Windows Server 2003 Active Directory-Verwaltungsprogramme eingesetzt werden können, wenn NTLM-Authentifizierung mit Microsoft Windows 2000-Domänencontrollern ausgehandelt wird, müssen Administratoren eine der folgenden Maßnahmen ergreifen:
  • Installieren von Windows 2000 Service Pack 3 (SP3) auf Windows 2000-Domänencontrollern.

    -oder-
  • Deaktivieren der LDAP-Signierung und -Verschlüsselung in der Registrierung des Clientcomputers, auf dem die Verwaltungsprogramme ausgeführt werden, und anschließender Neustart der Tools auf dem Client.
Zu den Snap-Ins und Befehlszeilenprogrammen von Windows Server 2003, die LDAP-Datenverkehr automatisch über das Netzwerk absichern, gehören:
  • Active Directory-Domänen und -Vertrauensstellungen
  • Active Directory-Standorte und -Dienste
  • Active Directory-Schema
  • Active Directory-Benutzer und -Computer
  • ADSI Edit
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Gruppenrichtlinienverwaltung
  • Objektauswahl
Zur Gewährleistung eines sicheren Netzwerks empfiehlt Microsoft, den administrativen LDAP-Datenverkehr zu signieren und zu verschlüsseln, indem Sie die Windows Server 2003-Verwaltungsprogramme ausschließlich auf Windows XP- und Windows Server 2003-Domänenmitgliedern und Windows Server 2003- und Windows 2000 Service Pack 4 (SP4)-Domänencontrollern installieren.
Zum Anfang

Mit Windows 2000 Service Pack 2 und früher

Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.Wenn Sie die Windows Server 2003 Active Directory-Verwaltungsprogramme zum Verwalten von Windows 2000-Domänencontrollern mit Windows 2000 Service Pack 2 (SP2) oder früher bei ausgehandelter NTLM-Authentifizierung einsetzen möchten, können Sie die Verwaltungsprogramme so konfigurieren, dass sie über nicht gesicherten LDAP-Datenverkehr kommunizieren. Gehen Sie folgendermaßen vor, um signierten oder verschlüsselten LDAP-Datenverkehr zu deaktivieren:
  1. Öffnen Sie den Registrierungseditor.
  2. Gehen Sie im Registrierungseditor zum folgenden Schlüssel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
    .
  3. Klicken Sie auf Bearbeiten, zeigen Sie auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie im jetzt eingeblendeten Textfeld den Befehl ADsOpenObjectFlags ein, und drücken Sie anschließend die [EINGABETASTE].
  5. Doppelklicken Sie auf den Registrierungsschlüssel ADsOpenObjectFlags, den Sie gerade erstellt haben, und ändern Sie dann den Eintrag unter Wert zu einem der folgenden Werte:

    Tabelle minimierenTabelle vergrößern
    Wert (Hexadezimal)Deaktiviert
    1Signierung
    2Verschlüsselung
    3Verschlüsselung und Signierung


Achtung: Durch dieses Verfahren wird die Verwendung signierten oder verschlüsselten LDAP-Datenverkehrs für einige Active Directory-Verwaltungsprogramme deaktiviert. Wir empfehlen, dieses Feature nicht zu deaktivieren.

Setzen Sie den Wert ADsOpenObjectFlags im folgenden Registrierungsschlüssel des Clientcomputers auf 0x03, um Signatur und Verschlüsselung des LDAP-Datenverkehrs für die Windows Server 2003 Active Directory-Verwaltungsprogramme zu deaktivieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Starten Sie die Verwaltungsprogramme neu, nachdem Sie den Registrierungsschlüssel
ADsOpenObjectFlags
eingestellt haben. Administratoren können auch Windows 2000-Versionen der Tools für Windows 2000-Domänencontroller mit SP2 oder früher auf Windows 2000-Clients und -Servern einsetzen. Der Client handelt möglicherweise keine Verbindung mit einem Server einer früheren Version aus, wenn er versucht, sich über NTLM zu authentifizieren. Dies kann zum Beispiel in Gesamtstruktur-übergreifenden Vertrauensstellungen der Fall sein, oder wenn der Client versucht, sich mit dem Server über eine IP-Adresse zu verbinden.

Die Snap-Ins und Befehlszeilenprogramme von Windows Server 2003 sichern den LDAP-Datenverkehr automatisch über das Netzwerk ab. Mögliche Fehlermeldungen sind:
  • Active Directory-Domänen und -Vertrauensstellungen: Die Konfigurationsinformationen, die diese Organisation beschreiben, sind nicht verfügbar. Der Server ist nicht funktionstüchtig, oder die Konfigurationsinformationen, die diese Organisation beschreiben, sind nicht verfügbar. Der Verzeichnisdienst ist nicht verfügbar. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist.
  • Active Directory-Standorte und -Dienste: Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Der Verzeichnisdienst ist nicht verfügbar. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist.
  • Mit der neuen Gesamtstruktur kann keine Verbindung hergestellt werden. Grund: Der Server ist nicht funktionstüchtig.
  • Active-Directory-Schema: Der Domänencontroller konnte nicht festgelegt werden. Der Verzeichnisdienst ist nicht verfügbar.
  • Active Directory-Benutzer und -Computer: Eine Verbindung mit der neuen Domäne konnte aufgrund folgenden Fehlers nicht hergestellt werden: Der Server ist nicht funktionstüchtig.
  • Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Der Verzeichnisdienst ist nicht verfügbar. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist.
  • ADSI Edit - Dsmove.exe dsmove ist fehlgeschlagen: DN des Objekts: Der Verzeichnisdienst ist nicht verfügbar.
  • Dsrm.exe dsrm ist fehlgeschlagen: Der Verzeichnisdienst ist nicht verfügbar.
  • Dsadd.exe dsadd ist fehlgeschlagen: DN des Objekts: Der Verzeichnisdienst ist nicht verfügbar.
  • Dsget.exe dsget ist fehlgeschlagen: Der Verzeichnisdienst ist nicht verfügbar.
  • Dsadd.exe dsmod ist fehlgeschlagen: DN des Objekts: Der Verzeichnisdienst ist nicht verfügbar.
  • Dsquery.exe dsquery ist fehlgeschlagen: Der Verzeichnisdienst ist nicht verfügbar.
  • Gruppenrichtlinien-Manager: Die angegebene Netzwerkressource bzw. das angegebene Gerät ist nicht mehr verfügbar.
  • Objektauswahl: Objekt wurde nicht gefunden.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Zum Anfang
Keywords: 
kbinfo kbenv kbproductlink KB325465
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.