Les contrôleurs de domaine Windows 2000 nécessitent SP3 ou version ultérieure lors de l'utilisation des outils d'administration Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 325465 - Voir les produits auxquels s'applique cet article
IMPORTANT : cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Définition du Registre de Microsoft Windows
Les composants logiciels enfichables Windows Server 2003 et les outils de lignes de commandes qui assurent automatiquement le trafic LDAP sur le réseau sont notamment :
  • Domaines et approbations Active Directory
  • Sites et services Active Directory
  • Schéma Active Directory
  • Utilisateurs et ordinateurs Active Directory
  • ADSI Edit
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Stratégie de groupe MMC (Microsoft Management Console)
  • Sélecteur d'objet
Pour maintenir un réseau sécurisé, Microsoft vous recommande de signer et de crypter le trafic LDAP administratif en déployant les outils d'administration de Windows Server 2003 exclusivement sur les ordinateurs Microsoft Windows XP et Windows Server 2003 membres et les contrôleurs de domaines de Windows Server 2003 et Windows 2000 Service Pack 4 (SP4).

Avec Windows 2000 Service Pack 2 et versions antérieures

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour utiliser les outils d'administration Active Directory de Windows Server 2003 pour gérer les contrôleurs de domaine Windows 2000 avec Windows 2 Service Pack 2 (SP2) ou version antérieure installée lors de la négociation de l'authentification NTLM, vous pouvez configurer les outils d'administration pour communiquer à l'aide d'un trafic LDAP non sécurisé. Pour désactiver la signature et le cryptage du trafic LDAP pour les outils Active Directory de Windows Server 2003, définissez la valeur ADsOpenObjectFlags sur 0x03 dans la clé de Registre suivante sur l'ordinateur client :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Redémarrez les outils d'administration une fois que vous avez défini la
ADsOpenObjectFlags
clé de Registre. Les administrateurs peuvent également utiliser les versions Windows 2000 des outils plutôt que les contrôleurs de domaines Windows 2000 avec SP2 ou version antérieure sur des clients et serveurs Windows 2000. Le client peut ne pas négocier une connexion avec le serveur ayant la version antérieure si le client tente d'authentifier en utilisant NTLM. Par exemple, cela peut se produire dans des approbations entre forêts ou lorsque le client tente de se connecter au serveur au moyen d'une adresse IP.
Les composants logiciels enfichables Windows Server 2003 et les outils de lignes de commandes qui assurent automatiquement le trafic LDAP sur le réseau. Les messages d'erreur possibles sont les suivants :
  • Domaines et approbations Active Directory : Les informations de configuration décrivant cette entreprise ne sont pas disponibles. Le serveur n'est pas opérationnel, ou les informations de configuration décrivant cette entreprise ne sont pas disponibles. Le service d'annuaire n'est pas disponible. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
  • Les informations de nom des sites et services Active Directory ne peuvent pas être trouvées car : Le service d'annuaire n'est pas disponible. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
  • Windows ne peut pas se connecter à la nouvelle forêt car : Le serveur n'est pas opérationnel.
  • Schéma Active Directory : Le Contrôleur de domaine n'a pas pu être défini. Le service d'annuaire n'est pas disponible.
  • Les utilisateurs et ordinateurs Active Directory Windows ne peuvent pas se connecter au nouveau domaine car : Le serveur n'est pas opérationnel.
  • Les informations de nom ne peuvent pas être trouvées car : Le service d'annuaire n'est pas disponible. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
  • ADSI Edit - Échec de Dsmove.exe dsmove : dn of object : Le service d'annuaire n'est pas disponible.
  • Échec de Dsrm.exe dsrm : Le service d'annuaire n'est pas disponible.
  • Échec de Dsadd.exe dsadd : <dn of object> : Le service d'annuaire n'est pas disponible.
  • Échec de Dsget.exe dsget : Le service d'annuaire n'est pas disponible.
  • Échec de Dsmod.exe dsmod : dn of object :Le service d'annuaire n'est pas disponible.
  • Échec de Dsquery.exe dsquery : Le service d'annuaire n'est pas disponible.
  • Stratégie de groupe MMC (Microsoft Management Console) La ressource réseau ou le périphérique spécifié n'est plus disponible.
  • Impossible de trouver l'objet Sélecteur d'objet
    .
Agrandir tout | Réduire tout

Résumé

Par défaut, les outils d'administration Active Directory dans la famille Windows Server 2003 signent et cryptent tout le trafic LDAP (Lightweight Directory Access Protocol). Signer le trafic LDAP garantit que les données complètes proviennent d'une source connue, n'ont pas été marquées par le réseau ni ne l'ont atteint en texte clair où des utilitaires de suivi réseau tels que l'outil Moniteur réseau peuvent le visualiser. Les outils d'administration Active Directory peuvent également négocier en se servant du protocole d'authentification NTLM plutôt que de la signature LDAP. Les deux scénarios qui invoquent l'authentification NTLM sont les suivants :
  • L'administration des contrôleurs de domaine Windows 2000 situés sur une forêt externe connectée par des approbations d'une version antérieure.
  • En centrant les composants logiciels enfichables MMC contre un contrôleur de domaine spécifique référencé par son adresse IP. Par exemple, vous cliquez sur Démarrer, sur Exécuter, puis tapez dsa.msc /server=x.x.x.x, où x.x.x.x est l'adresse IP du contrôleur de domaine.
Pour utiliser les outils d'administration Active Directory de Windows Server 2003 lorsque l'authentification NTLM est négociée avec des contrôleurs de domaine Microsoft Windows 2000, les administrateurs doivent prendre l'une des mesures suivantes :
  • Installez Windows 2000 Service Pack 3 (SP3) sur des contrôleurs de domaine Windows 2000.

    - ou -
  • Désactivez la signature LDAP et le marquage dans le Registre de l'ordinateur client qui exécute les outils d'administration, puis redémarrez les outils sur le client.

Propriétés

Numéro d'article: 325465 - Dernière mise à jour: lundi 29 octobre 2007 - Version: 15.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Mots-clés : 
kbinfo kbenv kbproductlink KB325465
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com