Memerlukan pengontrol domain Windows 2000 SP3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 325465 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Secara default, Active Directory administrative tools dalam Windows Server 2003 keluarga menandatangani dan mengenkripsi semua Lightweight Directory Access Lalu lintas Protocol (LDAP). Penandatanganan lalu lintas LDAP menjamin bahwa data yang dikemas berasal dari sumber yang dikenal, tidak dirusak dengan dan tidak memukul kawat dalam teks yang jelas di mana jaringan jejak utilitas seperti Monitor jaringan dapat melihatnya. Alat administrasi direktori aktif juga dapat menegosiasikan dengan menggunakan NTLM protokol otentikasi bukannya LDAP penandatanganan. Dua skenario yang memohon NTLM otentikasi termasuk skenario berikut:
  • Administrasi pengontrol domain Windows 2000 yang terletak di hutan eksternal yang terhubung dengan versi sebelumnya Trust.
  • Fokus snap-in MMC terhadap pengontrol domain tertentu yang direkomendasikan oleh alamat IP. Misalnya, Anda klikMulai, klik Menjalankan, kemudian ketikdsa.MSC /server =x.x.x.x, di mana x.x.x.x alamat IP dari domain controller.
Untuk menggunakan ini Windows Server 2003 Active Directory alat administratif ketika otentikasi NTLM dirundingkan dengan Microsoft Pengendali domain berbasis Windows 2000, administrator harus mengambil salah satu dari tindakan berikut:
  • Menginstal Windows 2000 Paket Layanan 3 (SP3) pada Windows pengendali domain berbasis 2000.

    -atau-
  • Mematikan LDAP penandatanganan dan penyegelan dalam registri dari komputer klien yang menjalankan alat administratif, dan kemudian restart alat pada klien.
Alat snap-in dan baris perintah Windows Server 2003 lalu lintas LDAP secara otomatis aman melalui jaringan termasuk:
  • Aktif domain dan Trust Direktori
  • Situs direktori aktif dan layanan
  • Skema direktori aktif
  • Direktori pengguna dan komputer active
  • ADSI Edit
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Konsol manajemen kebijakan grup
  • Objek Picker
Untuk menjaga jaringan aman, Microsoft menyarankan Anda menandatangani dan mengenkripsi lalu lintas LDAP administratif dengan menggunakan Windows Server alat administratif 2003 secara eksklusif pada Microsoft Windows XP dan Windows Komputer anggota Server 2003 dan Windows Server 2003 dan Windows 2000 Service Paket 4 (SP4) pengontrol domain.

Dengan Windows 2000 Paket Layanan 2 dan sebelumnya

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Untuk menggunakan Windows Server 2003 Active Directory alat administratif untuk mengelola pengendali domain berbasis Windows 2000 dengan Windows 2000 Service Pack 2 (SP2) atau sebelumnya diinstal ketika otentikasi NTLM dinegosiasikan, Anda dapat mengkonfigurasi alat administratif untuk berkomunikasi dengan menggunakan lalu non-dijamin lintas LDAP. Untuk menonaktifkan ditandatangani atau dienkripsi LDAP lalu lintas menggunakan langkah-langkah berikut:
  1. Buka Editor registri.
  2. Pada Peninjau Suntingan Registri, Cari kunci registri berikut ini:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug
    .
  3. Klik Mengedit, arahkan ke Baru, lalu klik Nilai DWORD.
  4. Dalam kotak teks yang muncul, ketik ADsOpenObjectFlags dan kemudian tekan enter.
  5. Klik dua kali ADsOpenObjectFlags kunci registri Anda baru saja dibuat, dan kemudian mengubah Nilai Data salah satu nilai berikut

    Perkecil tabel iniPerbesar tabel ini
    Nilai Data (heksadesimal)Menonaktifkan
    1Penandatanganan
    2Enkripsi
    3Enkripsi dan menandatangani


Perhatian Prosedur ini akan menonaktifkan penggunaan ditandatangani atau dienkripsi lalu-lintas LDAP untuk beberapa alat administratif Active Directory. Kami merekomendasikan bahwa Anda menghindari menonaktifkan fitur ini.

Mematikan tanda tangan dan enkripsi LDAP lalu lintas untuk alat-alat Windows Server 2003 Active Directory, mengatur ADsOpenObjectFlags nilai untuk 0x03 di dalam kunci registri berikut pada komputer klien:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Me-restart alat administratif setelah Anda mengatur
ADsOpenObjectFlags
kunci registri. Administrator juga dapat menggunakan Windows 2000 versi alat terhadap pengontrol domain berbasis Windows 2000 dengan SP2 atau sebelumnya pada Windows 2000-berbasis klien dan server. Klien tidak dapat menegosiasikan sambungan dengan server versi sebelumnya jika klien mencoba untuk melakukan otentikasi menggunakan NTLM. Sebagai contoh, hal ini mungkin terjadi di kayu Salib-hutan Trust atau ketika klien mencoba untuk menyambung ke server dengan cara dari alamat IP.

Alat snap-in dan baris perintah Windows Server 2003 yang mendapatkan lalu lintas LDAP melalui jaringan. Mungkin kesalahan pesan berisi:
  • Domain direktori aktif dan Trust: Konfigurasi informasi menggambarkan perusahaan ini bukanlah tersedia. Server bukanlah operasional, atau informasi konfigurasi menggambarkan perusahaan ini di tidak tersedia. Layanan direktori yang tidak tersedia. Hubungi administrator sistem untuk memverifikasi bahwa domain Anda dikonfigurasi dengan benar dan sedang online.
  • Situs direktori aktif dan Layanan penamaan informasi tidak dapat ditemukan karena: layanan direktori tidak tersedia. Hubungi administrator sistem untuk memverifikasi bahwa domain Anda dikonfigurasi dengan benar dan sedang online.
  • Windows tidak dapat tersambung ke baru hutan karena: server tidak operasional.
  • Skema direktori aktif: Kontroler domain tidak dapat diatur. Layanan direktori tidak tersedia.
  • Pengguna direktori aktif dan Komputer Windows tidak dapat tersambung ke domain baru karena: server bukanlah operasional.
  • Penamaan informasi tidak dapat terletak karena: layanan direktori ini tidak tersedia. Hubungi sistem Anda administrator untuk memverifikasi bahwa domain Anda dikonfigurasi dengan benar dan saat ini online.
  • ADSI Edit - Dsmove.exe dsmove gagal: dn objek: Layanan direktori tidak tersedia.
  • Dsrm.exe dsrm gagal: layanan direktori tidak tersedia.
  • Dsadd.exe dsadd gagal: <dn of="" object="">: layanan direktori tidak tersedia.</dn>
  • Dsget.exe dsget gagal: layanan direktori tidak tersedia.
  • Dsmod.exe dsmod gagal: dn objek : Layanan direktori tidak tersedia.
  • Dsquery.exe dsquery gagal: layanan direktori tidak tersedia.
  • Konsol manajemen kelompok kebijakan: Sumber jaringan yang dimaksud atau perangkat adalah tidak lagi tersedia.
  • Objek Picker objek tidak Ditemukan.

Properti

ID Artikel: 325465 - Kajian Terakhir: 26 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Kata kunci: 
kbproductlink kbenv kbinfo kbmt KB325465 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:325465

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com