Controladores de domínio do Windows 2000 requerem SP3 ou posterior quando utiliza ferramentas de administração do Windows Server 2003

Por predefinição, ferramentas administrativas do Active Directory na família Windows Server 2003 assinar e encriptam todo o tráfego (LIGHTWEIGHT Directory Access Protocol). Tráfego assinatura LDAP garante que os dados compactados provém de uma origem conhecida, não foi adulterados e não de visitas cabos em texto simples onde utilitários de rastreio de rede como o Monitor de rede possam ver. Ferramentas de administração do Active Directory também podem negociar utilizando o NTLM protocolo de autenticação em vez de a assinatura LDAP. Dois cenários que invocar NTLM autenticação incluem os seguintes cenários:

• A administração de controladores de domínio do Windows 2000 que estão localizados numa floresta externa ligada através de fidedignidades da versão anterior.
• Focagem snap-ins da MMC com um controlador de domínio específico referenciado pelo respectivo endereço IP. Por exemplo, clique em Iniciar , clique em Executar e, em seguida, escreva dsa.msc/Server = x.x.x.x, em que x.x.x.x corresponde ao endereço IP do controlador de domínio.

Para utilizar do Windows Server 2003 Active Directory administrativa ferramentas quando a autenticação NTLM é negociada com controladores de domínio baseado no Microsoft Windows 2000, os administradores tem de executar qualquer uma das seguintes acções:

• Instalar o Windows 2000 Service Pack 3 (SP3) em controladores de domínio baseado no Windows 2000.
  
  - ou -
• Desactive LDAP assinatura e selar no registo do computador cliente com as ferramentas administrativas e, em seguida, reiniciar as ferramentas no cliente.

As ferramentas de snap-ins e da linha de comandos de Windows Server 2003 que tráfego LDAP seguro automaticamente através da rede incluem:

• O Active Directory domínios e fidedignidades
• Serviços e locais do Active Directory
• Esquema do Active Directory
• Computadores e utilizadores do Active Directory
• Editar ADSI
• Dsmove.exe
• Dsrm.exe
• Dsadd.exe
• Dsget.exe
• Dsmod.exe
• Dsquery.exe
• Consola de gestão da política de grupo
• Seleccionador de objectos

Para manter uma rede segura, a Microsoft recomenda que assinar e encriptar tráfego LDAP administrativo por implementar as ferramentas administrativas Windows Server 2003 exclusivamente no Microsoft Windows XP e Windows Server 2003 computadores membros e Windows Server 2003 e controladores de domínio do Windows 2000 Service Pack 4 (SP4).

Com o Windows 2000 Service Pack 2 e anterior

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para utilizar o Windows Server 2003 Active Directory ferramentas administrativas para gerir controladores de domínio baseado no Windows 2000 com o Windows 2000 Service Pack 2 (SP2) ou anterior instalado quando a autenticação NTLM é negociada, pode configurar as ferramentas administrativas para comunicar através da utilização não protegidas pelo tráfego LDAP. Para desactivar LDAP assinado ou encriptado tráfego utilize os seguintes passos:

1. Abra o Editor de registo.
2. No Editor de registo, localize a seguinte chave de registo:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug
   .
3. Clique em Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
4. Na caixa de texto que aparece, escreva ADsOpenObjectFlags e, em seguida, prima enter.
5. Faça duplo clique a chave de registo ADsOpenObjectFlags que acabou de criar e, em seguida, alterar os Dados do valor para um dos seguintes valores
   
   
   Reduzir esta tabelaExpandir esta tabela

   dados do valor (hexadecimal)	desactiva
   1	O início de sessão
   2	Encriptação
   3	Encriptação e assinatura

atenção Este procedimento desactivará a utilização de tráfego LDAP assinado ou encriptado para algumas ferramentas administrativas do Active Directory. Recomendamos que evite desactivar esta funcionalidade.

Para desactivar a assinatura e encriptação de LDAP tráfego para as ferramentas do Active Directory do Windows Server 2003, defina o valor de ADsOpenObjectFlags como 0x03 na seguinte chave de registo no computador cliente: Reinicie as ferramentas administrativas depois chave de registo. Os administradores também podem utilizar versões do Windows 2000 das ferramentas em controladores de domínio baseado no Windows 2000 com SP2 ou anterior no baseado no Windows 2000 clientes e servidores. O cliente não pode negociar uma ligação com o servidor de versão anterior se o cliente tenta autenticar utilizando o NTLM. Por exemplo, isto poderá ocorrer em fidedignidades de floresta cruzada ou quando o cliente tenta ligar ao servidor através de um endereço IP.

O Windows Server 2003 snap-ins e da linha de comandos ferramentas que o tráfego LDAP seguro automaticamente através da rede. Incluem mensagens de erro possíveis:

• Activa domínios e fidedignidades do: as informações de configuração que descrevem esta empresa não estão disponíveis. O servidor não está operacional, ou as informações de configuração que descrevem esta empresa em não está disponível. O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
• Informações de locais do e dos serviços de atribuição de nomes activas não podem ser localizadas porque: O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
• Windows não consegue ligar à nova floresta porque: O servidor não está operacional.
• Esquema do Active Directory: Não foi possível definir o controlador de domínio. O serviço de directório não está disponível.
• Windows computadores e utilizadores do Active Directory não é possível ligar ao novo domínio porque: O servidor não está operacional.
• Não é possível localizar atribuição de nomes informações devido: O serviço de directório não está disponível. Contacte o administrador de sistema para verificar que o domínio está correctamente configurado e presentemente online.
• Editar ADSI - Dsmove.exe dsmove falhou: dn do objecto : O serviço de directório está indisponível.
• Dsrm.exe dsrm falhou: O serviço de directório está indisponível.
• Dsadd Dsadd.exe falhou: < dn do objecto >: O serviço de directório está indisponível.
• Dsget Dsget.exe falhou: O serviço de directório está indisponível.
• Dsmod Dsmod.exe falhou: dn do objecto : O serviço de directório está indisponível.
• Dsquery Dsquery.exe falhou: O serviço de directório está indisponível.
• Consola de gestão da política de grupo: O recurso de rede especificado ou o dispositivo já não está disponível.
• Objecto de selecção de objecto não encontrado.