文章編號: 325465 - 上次校閱: 2007年10月29日 - 版次: 14.2

使用 Windows Server 2003 系統管理工具時,Windows 2000 網域控制站需要 SP3 (含) 以後版本

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要:本文包含修改登錄的資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的文件:
256986? (http://support.microsoft.com/kb/256986/ZH-TW/ ) Description of the Microsoft Windows Registry

在此頁中

全部展開 | 全部摺疊

結論

依預設值,Windows Server 2003 系列中的 Active Directory 系統管理工具,可以簽署及加密所有的「輕量目錄存取通訊協定」(LDAP) 傳輸。 簽署 LDAP 傳輸可以擔保已知來源的封包資料尚未遭他人篡改,而且也不會在網路追蹤公用程式 (如網路監視器) 可以檢視的純文字中點擊到框線。 Active Directory 系統管理工具也可以透過 NTLM 驗證通訊協定而非 LDAP 簽署,進行交涉。 兩種叫用 NTLM 驗證的案例包括下列情況:
  • 位於外部樹系之 Windows 2000 網域控制站的系統管理,會藉由舊版本的信任進行連線。
  • 針對以其 IP 位址所參照之指定網域控制站,將焦點放在 MMC 嵌入式管理單元上。 例如,按一下 [開始],再按一下 [執行],然後輸入 dsa.msc /server=x.x.x.x,其中 x.x.x.x 是網域控制站的 IP 位址。
如果要在 NTLM 驗證與 Microsoft Windows 2000 網域控制站交涉時,使用這些 Windows Server 2003 Active Directory 系統管理工具,則系統管理員必須執行下列其中一項動作:
  • 將 Windows 2000 Service Pack 3 (SP3) 安裝在 Windows 2000 網域控制站。

    - 或者 -
  • 關閉執行系統管理工具之用戶端電腦登錄中的 LDAP 簽署及封包,然後重新啟動用戶端上的工具。
可以自動保護通過網路之 LDAP 傳輸的 Windows Server 2003 嵌入式管理單元與命令列工具,包括下列:
  • Active Directory 網域及信任
  • Active Directory 站台及服務
  • Active Directory 架構
  • Active Directory 使用者和電腦
  • ADSI 編輯
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • 群組原則管理主控台
  • 物件選取器
為了維護安全的網路,Microsoft 建議您,藉由在 Microsoft Windows XP 和 Windows Server 2003 成員電腦以及 Windows Server 2003 和 Windows 2000 Service Pack 4 (SP4) 網域控制站上,用獨佔方式部署 Windows Server 2003 系統管理工具,以簽署並加密系統管理 LDAP 傳輸。
回此頁最上方

若為 Windows 2000 Service Pack 2 及更早的版本

警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您可以解決錯誤使用登錄編輯器所造成的問題。 請自行承擔使用「登錄編輯器」的風險。
如果要在與 NTLM 驗證交涉時,使用 Windows Server 2003 Active Directory 系統管理工具,管理含有 Windows 2 Service Pack 2 (SP2) 或更早期之安裝版本的 Windows 2000 網域控制站,您可以使用非保全的 LDAP 傳輸,將系統管理工具設定為可以溝通。 如果要關閉 Windows Server 2003 Active Directory 系統管理工具之 LDAP 傳輸的簽署及加密,請在用戶端電腦中將下列登錄機碼的 ADsOpenObjectFlags 值設定為 0x03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
ADsOpenObjectFlags
登錄機碼設定完成之後,請重新啟動系統管理工具。 系統管理員也可以在 Windows 2000 用戶端與伺服器上,使用含有 SP2 或更早期版本之 Windows 2000 網域控制站的 Windows 2000 版本工具。 如果該用戶端嘗試使用 NTLM 進行驗證,則該用戶端可能不會與早期版本的伺服器交涉連線。 例如,在遠距信任或用戶端嘗試以 IP 位址方式連線至伺服器時,可能會發生這種情況。

Windows Server 2003 嵌入式管理單元與命令列工具,可以自動保護通過網路的 LDAP 傳輸。 可能會出現的錯誤訊息包括:
  • Active Directory 網域及信任: 描述這個企業的設定資訊無法使用。 無法操作伺服器,或者描述這個企業的設定資訊無法使用。 無法使用目錄服務。 請聯絡您的系統管理員,並確定您的網域設定是否正確,是否在連線狀態。
  • 找不到 Active Directory 站台及服務命名資訊,原因: 無法使用目錄服務。 請聯絡您的系統管理員,並確定您的網域設定是否正確,是否在連線狀態。
  • Windows 無法連線到新樹系,原因: The server is not operational. (無法操作伺服器)。
  • Active Directory 架構: 無法設定網域控制站。 無法使用目錄服務。
  • Active Directory 使用者和電腦 Windows 無法連線到新網域,原因:The server is not operational. (無法操作伺服器)。
  • 找不到命名資訊,原因: 無法使用目錄服務。 請聯絡您的系統管理員,並確定您的網域設定是否正確,是否在連線狀態。
  • ADSI Edit - Dsmove.exe dsmove failed: (ADSI 編輯 - Dsmove.exe dsmove 失敗:) dn of object: 無法使用目錄服務。
  • Dsrm.exe dsrm failed: (Dsrm.exe dsrm 失敗:) 無法使用目錄服務。
  • Dsadd.exe dsadd failed: (Dsadd.exe dsadd 失敗:) <dn of object>: 無法使用目錄服務。
  • Dsget.exe dsget failed: (Dsget.exe dsget 失敗:) 無法使用目錄服務。
  • Dsmod.exe dsmod failed: (Dsmod.exe dsmod 失敗:) dn of object:無法使用目錄服務。
  • Dsquery.exe dsquery failed: (Dsquery.exe dsquery 失敗:) 無法使用目錄服務。
  • 群組原則管理主控台: 指定的網路資源或裝置無法再使用。
  • Object Picker Object Not Found. (找不到物件選取器)。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
回此頁最上方
關鍵字:?
kbinfo kbenv kbproductlink KB325465
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。