Controladores de Domínio do Windows 2000 Exigem o SP3 ou Posteriores ao Usar as Ferramentas Administrativas do Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 325465 - Exibir os produtos aos quais esse artigo se aplica.
IMPORTANTE: Este artigo contém informações sobre como modificar o registro. Antes de modificar o registro, certifique-se de ter um backup e de saber como restaurar o registro caso ocorra algum problema. Para obter informações sobre como fazer backup, restaurar e editar o registro, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
256986 Descrição do Registro do Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Por padrão, as ferramentas administrativas do Active Directory na família do Windows Server 2003 assinam e criptografam todo o tráfego LDAP (Lightweight Directory Access Protocol). Assinar o tráfego LDAP assegura que os dados compactados vêm de uma fonte conhecida, que não foram violados e que não são exibidos em texto não criptografado nos lugares em que utilitários, como o Monitor de rede, possam vê-los. As ferramentas administrativas do Active Directory também podem negociar usando o protocolo de autenticação NTLM, em vez da assinatura LDAP. Entre as duas situações que exigem a autenticação NTLM estão:
  • A administração dos controladores de domínio do Windows 2000, localizados em uma floresta externa conectada por relações de confiança de versões anteriores.
  • Usar o snap-in MMC em um determinado controlador de domínio referenciado por seu endereço IP. Por exemplo, você clica em Iniciar, Executar, e digita dsa.msc /server=x.x.x.x, em quex.x.x.x é o endereço IP do controlador de domínio.
Para usar essas ferramentas administrativas do Active Directory do Windows Server 2003 quando a autenticação NTLM é negociada com os controladores de domínio baseados no Microsoft Windows 2000, os administradores devem executar as seguintes ações:
  • Instale o Windows 2000 Service Pack 3 (SP3) em controladores de domínio baseados no Windows 2000.

    -ou-
  • Desative a assinatura e o fechamento LDAP no registro do computador cliente que está executando as ferramentas administrativas, e reinicie as ferramentas no cliente.
Entre os snap-ins e ferramentas de linha de comando do Windows Server 2003 que protegem o tráfego LDAP automaticamente na rede estão:
  • Domínios e Relações de Confiança do Active Directory
  • Sites e Serviços do Active Directory
  • Esquema do Active Directory
  • Usuários e Computadores do Active Directory
  • Edição de ADSI
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • Console de Gerenciamento das Diretivas de Grupo
  • Seletor de objetos
Para manter uma rede segura, a Microsoft recomenda que você assine e criptografe o tráfego LDAP administrativo implantando as ferramentas administrativas do Windows Server 2003 apenas nos computadores membros com Microsoft Windows XP e Windows Server 2003 e nos controladores de domínio com Windows Server 2003 e Windows 2000 Service Pack 4 (SP4).

Com Windows 2000 Service Pack 2 e Anteriores

ATENÇÃO: Se usar o Editor do Registro incorretamente, você pode causar problemas graves que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que você conseguirá solucionar os problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para usar as ferramentas administrativas do Active Directory do Windows Server 2003 a fim de gerenciar os controladores de domínio baseados no Windows 2000 com Windows 2 Service Pack 2 (SP2) ou anteriores instalados quando a autenticação NTLM for negociada, você pode configurar as ferramentas administrativas para comunicar usando o tráfego LDAP não-seguro. Para desativar a assinatura e a criptografia do tráfego LDAP para as ferramentas do Active Directory do Windows Server 2003, defina o valor ADsOpenObjectFlags para 0x03 na seguinte chave de registro no computador cliente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Reinicie as ferramentas administrativas depois de definir a
ADsOpenObjectFlags
chave de registro. Os administradores também podem usar as versões Windows 2000 das ferramentas em controladores de domínio baseados no Windows 2000 com SP2 ou anteriores em clientes e servidores baseados no Windows 2000. Talvez o cliente não consiga negociar uma conexão com o servidor da versão anterior caso tente autenticar usando NTLM. Por exemplo, isso pode ocorrer em relações de confiança de florestas cruzadas ou quando o cliente tenta se conectar ao servidor usando um endereço IP.

Os snap-ins e ferramentas de linha de comando do Windows Server 2003 protegem o tráfego LDAP automaticamente na rede. Entre as possíveis mensagens de erro estão:
  • Domínios e Relações de Confiança do Active Directory: As informações de configuração que descrevem esta empresa não estão disponíveis. O servidor não está operacional, ou as informações de configuração que descrevem esta empresa não estão disponíveis. O serviço de diretório não está disponível. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está on-line no momento.
  • As informações de nomeação dos Sites e Serviços do Active Directory não puderam ser localizadas porque: O serviço de diretório não está disponível. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está on-line no momento.
  • O Windows não pode conectar à nova floresta porque: O servidor não está operacional.
  • Esquema do Active Directory: Não foi possível definir o controlador de domínio. O serviço de diretório está indisponível.
  • Os Usuários e computadores do Active Diretctory do Windows não puderam conectar ao novo domínio porque: O servidor não está operacional.
  • Não foi possível localizar informações de nomeação porque: O serviço de diretório não está disponível. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está on-line no momento.
  • ADSI Edit - Dsmove.exe dsmove falhou: dn of object: O serviço de diretório está indisponível.
  • Dsrm.exe dsrm falhou: O serviço de diretório está indisponível.
  • Dsadd.exe dsadd falhou: <dn of object>: O serviço de diretório está indisponível.
  • Dsget.exe dsget falhou: O serviço de diretório está indisponível.
  • Dsmod.exe dsmod falhou: dn do objeto: O serviço de diretório está indisponível.
  • Dsquery.exe dsquery falhou: O serviço de diretório está indisponível.
  • Console de Gerenciamento das Diretivas de Grupo: O recurso ou dispositivo de rede especificado não está mais disponível.
  • Objeto do Seletor de Objetos não encontrado.

Propriedades

ID do artigo: 325465 - Última revisão: segunda-feira, 29 de outubro de 2007 - Revisão: 14.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbinfo kbenv kbproductlink KB325465

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com