Num�ro d'article: 325465 - Derni�re mise � jour: lundi 29 octobre 2007 - Version: 15.2

Les contr�leurs de domaine Windows�2000 n�cessitent SP3 ou version ult�rieure lors de l'utilisation des outils d'administration Windows�Server�2003

Voir les produits auxquels s'applique cet article

A noterCet article s'applique � un syst�me d'exploitation diff�rent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-�tre pas est d�sactiv�.

IMPORTANT�: cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez � le sauvegarder et assurez-vous que vous savez le restaurer en cas de probl�me. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances�Microsoft�:

256986� (http://support.microsoft.com/kb/256986/EN-US/ ) D�finition du Registre de Microsoft Windows

Les composants logiciels enfichables Windows�Server�2003 et les outils de lignes de commandes qui assurent automatiquement le trafic LDAP sur le r�seau sont notamment�:

Domaines et approbations Active Directory
Sites et services Active Directory
Sch�ma Active Directory
Utilisateurs et ordinateurs Active Directory
ADSI Edit
Dsmove.exe
Dsrm.exe
Dsadd.exe
Dsget.exe
Dsmod.exe
Dsquery.exe
Strat�gie de groupe MMC (Microsoft Management Console)
S�lecteur d'objet

Pour maintenir un r�seau s�curis�, Microsoft vous recommande de signer et de crypter le trafic LDAP administratif en d�ployant les outils d'administration de Windows�Server�2003 exclusivement sur les ordinateurs Microsoft�Windows�XP et Windows�Server�2003 membres et les contr�leurs de domaines de Windows�Server�2003 et Windows�2000�Service�Pack�4 (SP4).

Avec Windows�2000�Service�Pack�2 et versions ant�rieures

AVERTISSEMENT�: toute mauvaise utilisation de l'�diteur du Registre peut g�n�rer des probl�mes s�rieux, pouvant vous obliger � r�installer votre syst�me d'exploitation. Microsoft ne peut garantir que les probl�mes r�sultant d'une mauvaise utilisation de l'�diteur du Registre puissent �tre r�solus. Vous assumez l'ensemble des risques li�s � l'utilisation de cet outil.

Pour utiliser les outils d'administration Active Directory de Windows�Server�2003 pour g�rer les contr�leurs de domaine Windows�2000 avec Windows�2�Service�Pack�2 (SP2) ou version ant�rieure install�e lors de la n�gociation de l'authentification NTLM, vous pouvez configurer les outils d'administration pour communiquer � l'aide d'un trafic LDAP non s�curis�. Pour d�sactiver la signature et le cryptage du trafic LDAP pour les outils Active Directory de Windows�Server�2003, d�finissez la valeur ADsOpenObjectFlags sur 0x03 dans la cl� de Registre suivante sur l'ordinateur client�:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags

Red�marrez les outils d'administration une fois que vous avez d�fini la

ADsOpenObjectFlags

cl� de Registre. Les administrateurs peuvent �galement utiliser les versions Windows�2000 des outils plut�t que les contr�leurs de domaines Windows�2000 avec SP2 ou version ant�rieure sur des clients et serveurs Windows�2000. Le client peut ne pas n�gocier une connexion avec le serveur ayant la version ant�rieure si le client tente d'authentifier en utilisant NTLM. Par exemple, cela peut se produire dans des approbations entre for�ts ou lorsque le client tente de se connecter au serveur au moyen d'une adresse IP.

Les composants logiciels enfichables Windows�Server�2003 et les outils de lignes de commandes qui assurent automatiquement le trafic LDAP sur le r�seau. Les messages d'erreur possibles sont les suivants�:

Domaines et approbations Active Directory�: Les informations de configuration d�crivant cette entreprise ne sont pas disponibles. Le serveur n'est pas op�rationnel, ou les informations de configuration d�crivant cette entreprise ne sont pas disponibles. Le service d'annuaire n'est pas disponible. Contactez votre administrateur syst�me pour v�rifier que le domaine est correctement configur� et qu'il est actuellement connect�.
Les informations de nom des sites et services Active Directory ne peuvent pas �tre trouv�es car�: Le service d'annuaire n'est pas disponible. Contactez votre administrateur syst�me pour v�rifier que le domaine est correctement configur� et qu'il est actuellement connect�.
Windows ne peut pas se connecter � la nouvelle for�t car�: Le serveur n'est pas op�rationnel.
Sch�ma Active Directory�: Le Contr�leur de domaine n'a pas pu �tre d�fini. Le service d'annuaire n'est pas disponible.
Les utilisateurs et ordinateurs Active Directory Windows ne peuvent pas se connecter au nouveau domaine car�: Le serveur n'est pas op�rationnel.
Les informations de nom ne peuvent pas �tre trouv�es car�: Le service d'annuaire n'est pas disponible. Contactez votre administrateur syst�me pour v�rifier que le domaine est correctement configur� et qu'il est actuellement connect�.
ADSI Edit - �chec de Dsmove.exe dsmove�: dn of object�: Le service d'annuaire n'est pas disponible.
�chec de Dsrm.exe dsrm�: Le service d'annuaire n'est pas disponible.
�chec de Dsadd.exe dsadd�: <dn of object>�: Le service d'annuaire n'est pas disponible.
�chec de Dsget.exe dsget�: Le service d'annuaire n'est pas disponible.
�chec de Dsmod.exe dsmod�: dn of object :Le service d'annuaire n'est pas disponible.
�chec de Dsquery.exe dsquery�: Le service d'annuaire n'est pas disponible.
Strat�gie de groupe MMC (Microsoft Management Console) La ressource r�seau ou le p�riph�rique sp�cifi� n'est plus disponible.
Impossible de trouver l'objet S�lecteur d'objet
.

Agrandir tout | R�duire tout

R�sum�

Par d�faut, les outils d'administration Active Directory dans la famille Windows�Server�2003 signent et cryptent tout le trafic LDAP (Lightweight Directory Access Protocol). Signer le trafic LDAP garantit que les donn�es compl�tes proviennent d'une source connue, n'ont pas �t� marqu�es par le r�seau ni ne l'ont atteint en texte clair o� des utilitaires de suivi r�seau tels que l'outil Moniteur r�seau peuvent le visualiser. Les outils d'administration Active Directory peuvent �galement n�gocier en se servant du protocole d'authentification NTLM plut�t que de la signature LDAP. Les deux sc�narios qui invoquent l'authentification NTLM sont les suivants�:

L'administration des contr�leurs de domaine Windows�2000 situ�s sur une for�t externe connect�e par des approbations d'une version ant�rieure.
En centrant les composants logiciels enfichables MMC contre un contr�leur de domaine sp�cifique r�f�renc� par son adresse IP. Par exemple, vous cliquez sur D�marrer, sur Ex�cuter, puis tapez dsa.msc /server=x.x.x.x, o� x.x.x.x est l'adresse IP du contr�leur de domaine.

Pour utiliser les outils d'administration Active Directory de Windows�Server�2003 lorsque l'authentification NTLM est n�goci�e avec des contr�leurs de domaine Microsoft�Windows�2000, les administrateurs doivent prendre l'une des mesures suivantes�:

Installez Windows�2000�Service�Pack�3 (SP3) sur des contr�leurs de domaine Windows�2000.

-�ou�-
D�sactivez la signature LDAP et le marquage dans le Registre de l'ordinateur client qui ex�cute les outils d'administration, puis red�marrez les outils sur le client.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition

Retour au d�but

kbinfo kbenv kbproductlink KB325465

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.