使用 Windows Server 2003 管理工具时 Windows 2000 域控制器需要 SP3 或更高版本

文章编号: 325465 - 查看本文应用于的产品
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows 注册表说明
展开全部 | 关闭全部

本页

概要

默认情况下,Windows Server 2003 系列中的 Active Directory 管理工具签署并加密所有的轻量目录访问协议 (LDAP) 通信。签署 LDAP 通讯可以确保打包数据的来源已知、未被篡改,并且不是以网络跟踪工具(如“网络监视器”)可以看到的明文形式在线路上传递的。Active Directory 管理工具也可以使用 NTLM 身份验证协议而不是 LDAP 签名进行协商。调用 NTLM 身份验证的两种方案包括:
  • 管理的 Windows 2000 域控制器位于通过早期版本的信任关系连接的外部林中。
  • MMC 管理单元集中在通过其 IP 地址引用的特定域控制器上。例如,单击“开始”,单击“运行”,然后键入 dsa.msc /server=x.x.x.x,其中 x.x.x.x 是域控制器的 IP 地址。
要在 NTLM 身份验证与基于 Microsoft Windows 2000 的域控制器协商时使用这些 Windows Server 2003 Active Directory 管理工具,管理员必须执行以下任一操作:
  • 在基于 Windows 2000 的域控制器上安装 Windows 2000 Service Pack 3 (SP3)。

    - 或者 -
  • 在运行这些管理工具的客户端计算机的注册表中关闭 LDAP 签名和密封,然后重新在该客户端上启动这些工具。
自动确保网络上的 LDAP 通讯安全的 Windows Server 2003 管理单元和命令行工具包括:
  • Active Directory 域和信任关系
  • Active Directory 站点和服务
  • Active Directory 架构
  • Active Directory 用户和计算机
  • ADSI 编辑
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • 组策略管理控制台
  • 对象选择器
为维护安全的网络,Microsoft 建议您签署并加密管理性 LDAP 通讯,仅在 Microsoft Windows XP 和 Windows Server 2003 成员计算机以及 Windows Server 2003 和 Windows 2000 Service Pack 4 (SP4) 域控制器上部署 Windows Server 2003 管理工具。

对于 Windows 2000 Service Pack 2 和更早的版本

警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。要在协商 NTLM 身份验证时使用 Windows Server 2003 Active Directory 管理工具管理安装了 Windows 2000 Service Pack 2 (SP2) 或更早版本的基于 Windows 2000 的域控制器,可以使用非安全 LDAP 通讯来配置管理工具以进行通信。要禁用签名或加密的 LDAP 通讯,请按照下列步骤操作:
  1. 打开注册表编辑器。
  2. 在注册表编辑器中,找到以下注册表项:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
  3. 单击“编辑”,指向“新建”,然后单击“DWORD 值”。
  4. 在出现的文本框中,键入 ADsOpenObjectFlags,然后按 Enter。
  5. 双击刚才创建的“ADsOpenObjectFlags”注册表项,然后将“数值数据”更改为下列值之一

    收起该表格展开该表格
    数值数据(十六进制)禁用
    1签名
    2加密
    3加密和签名


警告:该过程将禁止对某些 Active Directory 管理工具使用签名或加密的 LDAP 通讯。建议不要禁用该功能。

要对 Windows Server 2003 Active Directory 工具关闭 LDAP 通讯的签名和加密,请将客户端计算机上的以下注册表项中的 ADsOpenObjectFlags 值设置为 0x03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
设置了
ADsOpenObjectFlags
注册表项以后,重新启动管理工具。在基于 Windows 2000 的客户端和服务器上,对于具有 SP2 或更早版本的基于 Windows 2000 的域控制器,管理员也可以使用这些工具的 Windows 2000 版本。如果客户端尝试使用 NTLM 进行身份验证,则它可能不会与更早版本的服务器协商连接。例如,在跨林信任关系中或当客户端尝试使用 IP 地址连接服务器时,可能会发生这种情况。

自动确保网络上的 LDAP 通讯安全的 Windows Server 2003 管理单元和命令行工具。可能的错误消息包括:
  • Active Directory 域和信任关系:描述该企业的配置信息不可用。该服务器不可操作,或者描述该企业的配置信息不可用。目录服务不可用。请与系统管理员联系,以确认您的域配置正确并且处于联机状态。
  • 找不到 Active Directory 站点和服务命名信息,因为:目录服务不可用。请与系统管理员联系,以确认您的域配置正确并且处于联机状态。
  • Windows 无法连接到新林,因为:该服务器不可操作。
  • Active Directory 架构:不能设置域控制器。目录服务不可用。
  • Active Directory 用户和计算机 Windows 无法连接到新域,因为:该服务器不可操作。
  • 找不到命名信息,因为:目录服务不可用。请与系统管理员联系,以确认您的域配置正确并且处于联机状态。
  • ADSI Edit - Dsmove.exe dsmove 失败:dn of object:目录服务不可用。
  • Dsrm.exe dsrm 失败:目录服务不可用。
  • Dsadd.exe dsadd 失败:<dn of object>:目录服务不可用。
  • Dsget.exe dsget 失败:目录服务不可用。
  • Dsmod.exe dsmod 失败:dn of object:目录服务不可用。
  • Dsquery.exe dsquery 失败:目录服务不可用。
  • 组策略管理控制台:指定的网络资源或设备不再可用。
  • Object Picker Object Not Found.
回到顶端 | 提供反馈

属性

文章编号: 325465 - 最后修改: 2007年10月29日 - 修订: 16.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbinfo kbenv kbproductlink KB325465
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端