Controladores de domínio do Windows 2000 requerem SP3 ou posterior quando utiliza ferramentas de administração do Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 325465 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Por predefinição, ferramentas administrativas do Active Directory na família Windows Server 2003 assinar e encriptam todo o tráfego (LIGHTWEIGHT Directory Access Protocol). Tráfego assinatura LDAP garante que os dados compactados provém de uma origem conhecida, não foi adulterados e não de visitas cabos em texto simples onde utilitários de rastreio de rede como o Monitor de rede possam ver. Ferramentas de administração do Active Directory também podem negociar utilizando o NTLM protocolo de autenticação em vez de a assinatura LDAP. Dois cenários que invocar NTLM autenticação incluem os seguintes cenários:
  • A administração de controladores de domínio do Windows 2000 que estão localizados numa floresta externa ligada através de fidedignidades da versão anterior.
  • Focagem snap-ins da MMC com um controlador de domínio específico referenciado pelo respectivo endereço IP. Por exemplo, clique em Iniciar , clique em Executar e, em seguida, escreva dsa.msc/Server = x.x.x.x, em que x.x.x.x corresponde ao endereço IP do controlador de domínio.
Para utilizar do Windows Server 2003 Active Directory administrativa ferramentas quando a autenticação NTLM é negociada com controladores de domínio baseado no Microsoft Windows 2000, os administradores tem de executar qualquer uma das seguintes acções:
  • Instalar o Windows 2000 Service Pack 3 (SP3) em controladores de domínio baseado no Windows 2000.

    - ou -
  • Desactive LDAP assinatura e selar no registo do computador cliente com as ferramentas administrativas e, em seguida, reiniciar as ferramentas no cliente.
As ferramentas de snap-ins e da linha de comandos de Windows Server 2003 que tráfego LDAP seguro automaticamente através da rede incluem:
  • O Active Directory domínios e fidedignidades
  • Serviços e locais do Active Directory
  • Esquema do Active Directory
  • Computadores e utilizadores do Active Directory
  • Editar ADSI
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Consola de gestão da política de grupo
  • Seleccionador de objectos
Para manter uma rede segura, a Microsoft recomenda que assinar e encriptar tráfego LDAP administrativo por implementar as ferramentas administrativas Windows Server 2003 exclusivamente no Microsoft Windows XP e Windows Server 2003 computadores membros e Windows Server 2003 e controladores de domínio do Windows 2000 Service Pack 4 (SP4).

Com o Windows 2000 Service Pack 2 e anterior

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
Para utilizar o Windows Server 2003 Active Directory ferramentas administrativas para gerir controladores de domínio baseado no Windows 2000 com o Windows 2000 Service Pack 2 (SP2) ou anterior instalado quando a autenticação NTLM é negociada, pode configurar as ferramentas administrativas para comunicar através da utilização não protegidas pelo tráfego LDAP. Para desactivar LDAP assinado ou encriptado tráfego utilize os seguintes passos:
  1. Abra o Editor de registo.
  2. No Editor de registo, localize a seguinte chave de registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug
    .
  3. Clique em Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
  4. Na caixa de texto que aparece, escreva ADsOpenObjectFlags e, em seguida, prima enter.
  5. Faça duplo clique a chave de registo ADsOpenObjectFlags que acabou de criar e, em seguida, alterar os Dados do valor para um dos seguintes valores

    Reduzir esta tabelaExpandir esta tabela
    dados do valor (hexadecimal) desactiva
    1O início de sessão
    2Encriptação
    3Encriptação e assinatura


atenção Este procedimento desactivará a utilização de tráfego LDAP assinado ou encriptado para algumas ferramentas administrativas do Active Directory. Recomendamos que evite desactivar esta funcionalidade.

Para desactivar a assinatura e encriptação de LDAP tráfego para as ferramentas do Active Directory do Windows Server 2003, defina o valor de ADsOpenObjectFlags como 0x03 na seguinte chave de registo no computador cliente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Reinicie as ferramentas administrativas depois
ADsOpenObjectFlags
chave de registo. Os administradores também podem utilizar versões do Windows 2000 das ferramentas em controladores de domínio baseado no Windows 2000 com SP2 ou anterior no baseado no Windows 2000 clientes e servidores. O cliente não pode negociar uma ligação com o servidor de versão anterior se o cliente tenta autenticar utilizando o NTLM. Por exemplo, isto poderá ocorrer em fidedignidades de floresta cruzada ou quando o cliente tenta ligar ao servidor através de um endereço IP.

O Windows Server 2003 snap-ins e da linha de comandos ferramentas que o tráfego LDAP seguro automaticamente através da rede. Incluem mensagens de erro possíveis:
  • Activa domínios e fidedignidades do: as informações de configuração que descrevem esta empresa não estão disponíveis. O servidor não está operacional, ou as informações de configuração que descrevem esta empresa em não está disponível. O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
  • Informações de locais do e dos serviços de atribuição de nomes activas não podem ser localizadas porque: O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
  • Windows não consegue ligar à nova floresta porque: O servidor não está operacional.
  • Esquema do Active Directory: Não foi possível definir o controlador de domínio. O serviço de directório não está disponível.
  • Windows computadores e utilizadores do Active Directory não é possível ligar ao novo domínio porque: O servidor não está operacional.
  • Não é possível localizar atribuição de nomes informações devido: O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
  • Editar ADSI - Dsmove.exe dsmove falhou: dn do objecto : O serviço de directório está indisponível.
  • Dsrm.exe dsrm falhou: O serviço de directório está indisponível.
  • Dsadd Dsadd.exe falhou: < dn do objecto >: O serviço de directório está indisponível.
  • Dsget Dsget.exe falhou: O serviço de directório está indisponível.
  • Dsmod Dsmod.exe falhou: dn do objecto : O serviço de directório está indisponível.
  • Dsquery Dsquery.exe falhou: O serviço de directório está indisponível.
  • Consola de gestão da política de grupo: O recurso de rede especificado ou o dispositivo já não está disponível.
  • Objecto de selecção de objecto não encontrado.

Propriedades

Artigo: 325465 - Última revisão: 29 de outubro de 2007 - Revisão: 16.8
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Palavras-chave: 
kbmt kbproductlink kbenv kbinfo KB325465 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325465

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com