I controller di dominio Windows 2000 richiedono SP3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 325465 - Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, eseguire una copia di backup e assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Per impostazione predefinita, gli strumenti di amministrazione di Active Directory presenti nei prodotti di Windows Server 2003 appongono una firma digitale o crittografano tutto il traffico LDAP (Lightweight Directory Access Protocol). La firma del traffico LDAP garantisce che i dati di un pacchetto provengano da un'origine nota, che non siano stati alterati e che non vengano trasmessi in formato non crittografato in ambiti in cui possano essere visualizzati da utilitÓ per l'analisi di rete quale Network Monitor. Gli strumenti di amministrazione di Active Directory possono anche effettuare negoziazioni utilizzando il protocollo di autenticazione NTLM invece della firma LDAP. Di seguito sono illustrati due scenari in cui viene richiamata l'autenticazione NTLM:
  • L'amministrazione di controller di dominio Windows 2000 appartenenti a un insieme di strutture esterno connesso tramite trust di versioni precedenti.
  • Attivazione degli snap-in di MMC mirata a uno specifico controller di dominio cui fa riferimento il relativo indirizzo IP. Ad esempio, fare clic sul pulsante Start, scegliere Esegui, quindi digitare dsa.msc /server=x.x.x.x, dove x.x.x.x Ŕ l'indirizzo IP del controller di dominio.
Per utilizzare questi strumenti di amministrazione di Active Directory di Windows Server 2003 quando la negoziazione dell'autenticazione NTLM Ŕ effettuata con controller di dominio Microsoft Windows 2000, Ŕ necessario che gli amministratori effettuino una delle seguenti azioni:
  • Installare Windows 2000 Service Pack 3 (SP3) sui controller di dominio Windows 2000.

    Oppure
  • Disattivare la firma LDAP e la crittografia del Registro di sistema del computer client in cui vengono eseguiti gli strumenti amministrativi, quindi riavviare gli strumenti nel client.
Gli snap-in e gli strumenti della riga di comando di Windows Server 2003 in base ai quali viene automaticamente protetto il traffico LDAP di rete includono:
  • Domini e trust di Active Directory
  • Siti e servizi di Active Directory
  • Schema di Active Directory
  • Utenti e computer di Active Directory
  • Modifica ADSI
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Console Gestione Criteri di gruppo
  • Selettore oggetti
Per garantire la protezione della rete, Ŕ consigliabile firmare e crittografare il traffico LDAP amministrativo distribuendo gli strumenti di amministrazione di Windows Server 2003 esclusivamente su computer membri Microsoft Windows XP e Windows Server 2003 e controller di dominio Windows Server 2003 e Windows 2000 Service Pack 4 (SP4).

Con Windows 2000 Service Pack 2 e versioni precedenti

Avviso L'errato utilizzo dell'editor del Registro di sistema pu˛ causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non Ŕ in grado di garantire la risoluzione di problemi causati dall'errato utilizzo dell'editor del Registro di sistema. L'utilizzo dell'editor del Registro di sistema Ŕ a rischio e pericolo dell'utente.Per utilizzare gli strumenti amministrativi di Active Directory di Windows Server 2003 per gestire controller di dominio Windows 2000, con Windows 2000 Service Pack 2 (SP2) o versione precedente installata, quando Ŕ eseguita la negoziazione dell'autenticazione NTLM, Ŕ possibile configurare gli strumenti amministrativi in modo che comunichino utilizzando traffico LDAP non protetto. Per disattivare la firma e la crittografia del traffico LDAP, effettuare le seguenti operazioni:
  1. Aprire l'editor del Registro di sistema.
  2. Nell'editor del Registro di sistema individuare la seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
    .
  3. Scegliere Nuovo dal menu Modifica, quindi Valore DWORD.
  4. Nella casella di testo visualizzata digitare ADsOpenObjectFlags e premere INVIO.
  5. Fare doppio clic sulla chiave del Registro di sistema ADsOpenObjectFlags appena creata, quindi modificare il campo Dati valore specificando uno dei seguenti valori

    Riduci questa tabellaEspandi questa tabella
    Dati valore (esadecimale)Disattiva
    1Firma
    2Crittografia
    3Crittografia e firma


Attenzione Questa procedura consente di disattivare la firma o la crittografia del traffico LDAP per alcuni strumenti amministrativi di Active Directory. ╚ quindi consigliabile evitare di disattivare questa funzionalitÓ.

Per disattivare la firma e la crittografia del traffico LDAP per gli strumenti Active Directory di Windows Server 2003, impostare il valore ADsOpenObjectFlags su 0x03 nella seguente chiave del Registro di sistema nel computer client:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Riavviare gli strumenti amministrativi dopo aver impostato la chiave del Registro di sistema
ADsOpenObjectFlags
. Gli amministratori possono anche utilizzare le versioni Windows 2000 degli strumenti per controller di dominio Windows 2000 con SP2 o versione precedente su client e server Windows 2000. Il client non pu˛ negoziare una connessione con il server di una versione precedente tentando di effettuare l'autenticazione mediante NTLM. Tale situazione pu˛ verificarsi, ad esempio, in trust tra pi¨ insiemi di strutture o quando il client tenta di connettersi al server tramite un indirizzo IP.

Snap-in e strumenti della riga di comando di Windows Server 2003 in base ai quali viene automaticamente protetto il traffico LDAP di rete. Possono essere visualizzati messaggi di errore analoghi ai seguenti:
  • Domini e trust di Active Directory: Le informazioni di configurazione relative all'organizzazione specificata non sono disponibili. Il server non Ŕ operativo o le informazioni di configurazione relative all'organizzazione specificata non sono disponibili. Il servizio directory non Ŕ disponibile. Contattare l'amministratore di sistema per verificare che il dominio sia configurato correttamente e che sia attualmente in linea.
  • Impossibile individuare le informazioni di denominazione di Siti e servizi di Active Directory. Errore: Il servizio directory non Ŕ disponibile. Contattare l'amministratore di sistema per verificare che il dominio sia configurato correttamente e che sia attualmente in linea.
  • Impossibile connettersi al nuovo insieme di strutture. Errore: server non operativo.
  • Schema di Active Directory: impossibile impostare il controller di dominio. Il servizio directory non Ŕ disponibile.
  • Impossibile connettersi al dominio. Errore: server non operativo.
  • Impossibile individuare le informazioni di denominazione. Errore: il servizio directory non Ŕ disponibile. Contattare l'amministratore di sistema per verificare che il dominio sia configurato correttamente e che sia attualmente in linea.
  • Modifica ADSI - Dsmove.exe dsmove non riuscito: dn dell'oggetto: il servizio directory non Ŕ disponibile.
  • Dsrm.exe dsrm non riuscito: il servizio directory non Ŕ disponibile.
  • Dsadd.exe dsadd non riuscito: <dn dell'oggetto>: il servizio directory non Ŕ disponibile.
  • Dsget.exe dsget non riuscito: il servizio directory non Ŕ disponibile.
  • Dsmod.exe dsmod non riuscito: dn dell'oggetto: il servizio directory non Ŕ disponibile.
  • Dsquery.exe dsquery non riuscito: il servizio directory non Ŕ disponibile.
  • Console Gestione Criteri di gruppo: la risorsa o la periferica di rete specificata non Ŕ pi¨ disponibile.
  • Selettore oggetti: oggetto non trovato.

ProprietÓ

Identificativo articolo: 325465 - Ultima modifica: lunedý 29 ottobre 2007 - Revisione: 16.4
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi:á
kbinfo kbenv kbproductlink KB325465
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com