وحدات تحكم المجال Windows 2000 تتطلب حزمة الخدمة SP3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003

ملخص

بشكل افتراضي، أدوات "Active Directory" الإدارية في عائلة Windows Server 2003 توقيع وتشفير كل حركة مرور بروتوكول الوصول الخفيف إلى الدليل (LDAP). توقيع LDAP حركة مرور يضمن أن البيانات التي تم حزمها تأتي من مصدر معروف ولم يتم العبث ولا تصل السلك بنص واضح حيث عرض أدوات تتبع الشبكة مثل "مراقبة الشبكة" أنه. أيضا قد التفاوض حول أدوات الإدارة الدليل النشط باستخدام بروتوكول مصادقة NTLM بدلاً من توقيع LDAP. يتضمن سيناريوهين استدعاء مصادقة NTLM السيناريوهات التالية:
  • إدارة وحدات تحكم مجال Windows 2000 الموجودة في مجموعة تفرعات خارجية متصلة بواسطة إصدار سابق علاقات الثقة.
  • تركز الأداة الإضافية MMC مقابل وحدة تحكم مجال معينة يتم الإشارة إليها بواسطة عنوان IP الخاص به. على سبيل المثال، انقر فوق
    ابدأ، ثم انقر فوق تشغيل، واكتب
    dsa.msc/server =x.x.x.x، حيث x.x.x.x هو عنوان IP لوحدة تحكم المجال.
لاستخدام هذه الأدوات الإدارية Windows Server 2003 Active Directory عند التفاوض بخصوص مصادقة NTLM مع وحدات التحكم بالمجال الخاصة بنظام التشغيل Microsoft Windows 2000، يجب أن المسؤولين أيا من الإجراءات التالية:
  • قم بتثبيت Windows 2000 Service Pack 3 (SP3) على وحدات تحكم المجال المستندة إلى Windows 2000.

    -أو-
  • إيقاف تشغيل LDAP التوقيع وختمها في التسجيل للكمبيوتر العميل الذي يقوم بتشغيل الأدوات الإدارية، وإعادة تشغيل الأدوات الموجودة على العميل.
تتضمن Windows Server 2003 سطر الأوامر الإضافية والأدوات تلقائياً تأمين معدل نقل بيانات LDAP عبر الشبكة:
  • مجالات active Directory والشهادات
  • مواقع Active directory وخدمات
  • مخطط Active directory
  • مستخدمي Active directory وأجهزة الكمبيوتر
  • تحرير ADSI
  • Dsmove.exe
  • Dsrm.exe
  • Dsadd.exe
  • Dsget.exe
  • Dsmod.exe
  • Dsquery.exe
  • وحدة التحكم في إدارة نهج المجموعة
  • منتقي الكائنات
للحفاظ على شبكة آمنة، توصي Microsoft بأن توقيع وتشفير نقل بيانات LDAP الإدارية عن طريق نشر الأدوات الإدارية Windows Server 2003 على أجهزة الكمبيوتر الأعضاء نظام التشغيل Microsoft Windows XP و Windows Server 2003 و Windows Server 2003 ووحدات تحكم المجال Windows 2000 Service Pack 4 (SP4).

مع Windows 2000 Service Pack 2 والإصدارات السابقة

هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
لاستخدام الأدوات الإدارية Windows Server 2003 Active Directory لإدارة المجال المستندة إلى Windows 2000 تحكم مع Windows 2000 Service Pack 2 (SP2) أو تثبيتها مسبقاً عند التفاوض بخصوص مصادقة NTLM، يمكنك تكوين أدوات إدارية للاتصال باستخدام نقل بيانات LDAP غير مؤمنة. لتعطيل LDAP موقعة أو مشفرة حركة مرور اتبع الخطوات التالية:
  1. افتح "محرر التسجيل".
  2. في "محرر التسجيل"، حدد موقع مفتاح التسجيل التالي: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug.
  3. انقر فوق تحرير، أشر إلى جديد، ومن ثم انقر فوق قيمة DWORD.
  4. في مربع النص الذي يظهر، اكتب ADsOpenObjectFlags ومن ثم اضغط enter.
  5. انقر نقراً مزدوجاً فوق مفتاح التسجيل ADsOpenObjectFlags الذي قمت بإنشائه، ثم قم بتغيير بيانات القيمة إلى إحدى القيم التالية

    بيانات القيمة (سداسي عشري)تعطيل
    1التوقيع
    2تشفير
    3التشفير والتوقيع


تنبيه هذا الإجراء إلى تعطيل استخدام نقل بيانات LDAP موقعة أو مشفرة لبعض أدوات "Active Directory" الإدارية. من المستحسن تجنب تعطيل هذه الميزة.

لإيقاف تشغيل توقيع وتشفير نقل بيانات LDAP لأدوات Windows Server 2003 Active Directory، تعيين قيمة ADsOpenObjectFlags إلى 0x03 في مفتاح التسجيل التالي على جهاز الكمبيوتر العميل:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
إعادة تشغيل "أدوات إدارية" بعد
مفتاح التسجيل ADsOpenObjectFlags . المسؤولين أيضا استخدام إصدارات Windows 2000 أدوات ضد وحدات تحكم المجال المستندة إلى Windows 2000 مع حزمة الخدمة SP2 أو إصدار سابق من نظام التشغيل Windows 2000 العملاء والملقمات. قد التفاوض على العميل اتصال بالخادم الإصدار السابق إذا كان يحاول العميل للمصادقة باستخدام NTLM. على سبيل المثال، قد يحدث هذا في الثقة أو عند محاولة العميل الاتصال بالخادم عن طريق عنوان IP.

Windows Server 2003 سطر الأوامر الإضافية والأدوات تلقائياً تأمين معدل نقل بيانات LDAP عبر الشبكة. رسائل الخطأ المحتملة تتضمن:
  • مجالات الدليل النشط والشهادات: معلومات التكوين التي تصف هذا المشروع غير متوفر. الملقم غير جاهزة للعمل، أو معلومات التكوين التي تصف هذا المشروع غير متوفرة. خدمة الدليل غير متوفر. اتصل بمسؤول النظام للتحقق من ذلك المجال الذي يتم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
  • لا يمكن تحديد موقع معلومات تسمية خدمات ومواقع الدليل النشط لأن: خدمة الدليل غير متوفرة. اتصل بمسؤول النظام للتحقق من ذلك المجال الذي يتم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
  • يتعذر على Windows الاتصال بالمجموعة الجديدة لأن: الخادم ليست قيد التشغيل.
  • مخطط Active directory: تعذر تعيين وحدة "تحكم المجال". خدمة الدليل غير متوفر.
  • يتعذر الاتصال النشطة دليل المستخدمين وأجهزة الكمبيوتر Windows بالمجال الجديد ل: الخادم ليست قيد التشغيل.
  • لا يمكن تحديد موقع معلومات التسمية لأن: خدمة الدليل غير متوفرة. اتصل بمسؤول النظام للتحقق من ذلك المجال الذي يتم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
  • تحرير ADSI-فشل دسموفي Dsmove.exe: الاسم المميز لكائن: خدمة الدليل غير متوفرة.
  • فشل dsrm Dsrm.exe: خدمة الدليل غير متوفرة.
  • فشل دساد Dsadd.exe: < الاسم المميز لكائن >: خدمة الدليل غير متوفرة.
  • فشل dsget Dsget.exe: خدمة الدليل غير متوفرة.
  • فشل dsmod Dsmod.exe: الاسم المميز لكائن : خدمة الدليل غير متوفرة.
  • فشل dsquery Dsquery.exe: خدمة الدليل غير متوفرة.
  • وحدة التحكم في إدارة نهج المجموعة: جهاز أو مورد شبكة الاتصال المحدد لم يعد متوفراً.
  • لم يتم العثور على كائن منتقي الكائن.
خصائص

رقم الموضوع: 325465 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات