Los controladores de dominio de Windows 2000 requieren el SP3 o posterior cuando usan las herramientas de administración de Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 325465 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

De forma predeterminada, herramientas administrativas de Active Directory en la familia Windows Server 2003 firmar y cifran todo el tráfico de Protocolo ligero de acceso a directorios (LDAP). La firma LDAP tráfico garantiza que los datos empaquetados provienen de un origen conocido, no se ha alterado y no visitas a la conexión en texto sin cifrar en utilidades de seguimiento de red como Monitor de red pueden ver. También pueden negociar la herramientas de administración de Active Directory mediante NTLM el protocolo de autenticación en lugar de la firma LDAP. Dos escenarios que invocación NTLM autenticación incluyen los siguientes escenarios:
  • Administración de controladores de dominio de Windows 2000 que se encuentran en un bosque externo conectado por confianzas de la versión anterior.
  • Centra los complementos MMC en un controlador de dominio específico que se hace referencia por su dirección IP. Por ejemplo, haga clic en Inicio , haga clic en Ejecutar y, a continuación, escriba dsa.msc/Server = x.x.x.x, donde x.x.x.x es la dirección IP del controlador de dominio.
Usar estos Windows Server 2003 Active Directory administrativas herramientas cuando se negocia la autenticación NTLM con controladores de dominio basado en Microsoft Windows 2000, los administradores deben tener cualquiera de las siguientes acciones:
  • Instalar Windows 2000 Service Pack 3 (SP3) en los controladores de dominio basado en Windows 2000.

    -o bien -
  • Desactivar LDAP firmar y sellar en el registro del equipo cliente que se está ejecutando las herramientas administrativas y, a continuación, reinicie las herramientas en el cliente.
Las herramientas de línea de comandos y complementos de Windows Server 2003 automáticamente proteger el tráfico LDAP a través de la red incluyen:
  • Dominios y Active Directory confianzas
  • Sitios y Active Directory Services
  • Esquema de Active Directory
  • Usuarios y Active Directory equipos
  • ADSI
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Consola de administración de directivas de grupo
  • Selector de objetos
Para mantener una red segura, Microsoft recomienda que firmar y cifrar tráfico LDAP administrativo implementando las herramientas administrativas de Windows Server 2003 exclusivamente en equipos miembro con Microsoft Windows XP y Windows Server 2003 y Windows Server 2003 y los controladores de dominio de Windows 2000 Service Pack 4 (SP4).

Con Windows 2000 Service Pack 2 y versiones anteriores

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar protección, copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Para utilizar Active Directory de Windows Server 2003 las herramientas administrativas para administrar controladores de dominio basado en Windows 2000 con Service Pack 2 (SP2) de Windows 2000 o anterior instalado cuando se negocia la autenticación NTLM, puede configurar las herramientas administrativas para comunicarse mediante tráfico LDAP no protegido. Para deshabilitar LDAP firmado o cifrado tráfico utilice los pasos siguientes:
  1. Abrir el Editor del registro.
  2. En el Editor del registro, busque en la siguiente clave del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug
    .
  3. Haga clic en Modificar , seleccione nuevo y, a continuación, haga clic en Valor DWORD .
  4. En el cuadro de texto que aparece, escriba ADsOpenObjectFlags y, a continuación, presione ENTRAR.
  5. Haga doble clic en la clave del Registro ADsOpenObjectFlags que acaba de crear y cambie la Información del valor a uno de los siguientes valores

    Contraer esta tablaAmpliar esta tabla
    información del valor (hexadecimal) deshabilita
    1Firma
    2Cifrado
    3Cifrado y firma


Precaución Este procedimiento deshabilita el uso de tráfico LDAP firmado o cifrado para algunas herramientas administrativas de Active Directory. Se recomienda que evite deshabilitar esta característica.

Para desactivar la firma y cifrado de LDAP tráfico para las herramientas de Active Directory de Windows Server 2003, establezca el valor ADsOpenObjectFlags a 0 x 03 en la siguiente clave del registro en el equipo cliente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Reiniciar las herramientas administrativas después de configurar el
ADsOpenObjectFlags
clave del registro. Los administradores también pueden utilizar versiones de Windows 2000 de las herramientas de controladores de dominio basados en Windows 2000 con SP2 o basado en Windows 2000 anteriormente en clientes y servidores. El cliente no puede negociar una conexión con el servidor de la versión anterior si el cliente intenta autenticar mediante NTLM. Por ejemplo, esto puede ocurrir en las confianzas entre bosques o cuando el cliente intenta conectarse al servidor por medio de una dirección IP.

Windows Server 2003 complementos y la línea de comandos herramientas ese tráfico LDAP seguro automáticamente a través de la red. Posible error mensajes incluyen:
  • Directory dominios y confianzas de Active: la información de configuración que describe esta empresa no está disponible. El servidor no está operativo, o que describe esta empresa en la información de configuración no está disponible. El servicio de directorio no está disponible. Póngase en contacto con su administrador del sistema para comprobar ese dominio está configurado correctamente y está conectado actualmente.
  • No se encuentra la información de sitios y servicios de nomenclatura Directory porque: el servicio de directorio no está disponible. Póngase en contacto con su administrador del sistema para comprobar ese dominio está configurado correctamente y está conectado actualmente.
  • Windows no puede conectarse con el nuevo bosque debido: el servidor no está operativo.
  • Esquema de Active Directory: No se pudo establecer el controlador de dominio. El servicio de directorio no está disponible.
  • Usuarios y Active Directory equipos Windows no pueden conectarse al dominio nuevo porque: el servidor no está operativo.
  • Información de nombres no puede encontrarse porque: el servicio de directorio no está disponible. Póngase en contacto con su administrador del sistema para comprobar ese dominio está configurado correctamente y está conectado actualmente.
  • ADSI - dsmove Dsmove.exe Error: dn del objeto : el servicio de directorio no está disponible.
  • Dsrm Dsrm.exe Error: el servicio de directorio no está disponible.
  • Dsadd Dsadd.exe Error: < dn del objeto >: el servicio de directorio no está disponible.
  • Dsget Dsget.exe Error: el servicio de directorio no está disponible.
  • Dsmod Dsmod.exe Error: dn del objeto : el servicio de directorio no está disponible.
  • Dsquery Dsquery.exe Error: el servicio de directorio no está disponible.
  • Consola de administración de directivas de grupo: El recurso de red especificada o el dispositivo no está disponible.
  • Objeto de selector de objeto no encontrado.

Propiedades

Id. de artículo: 325465 - Última revisión: lunes, 29 de octubre de 2007 - Versión: 16.8
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbmt kbproductlink kbenv kbinfo KB325465 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 325465

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com