Voor domeincontrollers voor Windows 2000 is SP3 of hoger vereist wanneer beheerprogramma's van Windows Server 2003 worden gebruikt

Belangrijk Dit artikel bevat informatie over het bewerken van het register. Voordat u het register gaat bewerken, moet u er een reservekopie van maken en moet u weten hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een reservekopie van het register en het herstellen of bewerken van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986 Beschrijving van het Microsoft Windows-register

Samenvatting

Al het LDAP-verkeer wordt met Active Directory-beheerprogramma's ondertekend en gecodeerd in de Windows Server 2003-familie. Het ondertekenen van LDAP-verkeer geeft de garantie dat de verpakte gegevens van een bekende bron afkomstig zijn, niet aangepast zijn en niet gelezen kunnen worden door een netwerktraceerprogramma zoals Netwerkcontrole. Active Directory-beheerprogramma's kunnen ook het NTLM-verificatieprotocol gebruiken in plaats van het ondertekenen van LDAP. In de volgende gevallen wordt NTLM-verificatie uitgevoerd:
 • Het beheer van Windows 2000-domeincontrollers in een extern forest dat is verbonden met eerdere versies van vertrouwensrelaties.
 • MMC-modules focussen op een bepaalde domeincontroler waarnaar verwezen wordt door het IP-adres. Klik bijvoorbeeld op Start, Uitvoeren en typ dsa.msc /server=x.x.x.x, waarbij x.x.x.x het IP-adres is van de domeincontroller.
Als u deze Active Directory-beheerprogramma's van Windows Server 2003 wilt gebruiken als over NTLM-verificatie wordt onderhandeld met domeincontrollers voor Microsoft Windows 2000, moeten beheerders een van de volgende handelingen uitvoeren:
 • Windows 2000 Service Pack 3 (SP3) installeren op domeincontrollers voor Windows 2000.

  -of-
 • Schakel LDAP-ondertekenen en -verzegelen uit in het register van de clientcomputer waarop de beheerprogramma's worden uitgevoerd. Start de programma's opnieuw op de clientcomputer.
Met de volgende modules en opdrachtregelprogramma's van Windows Server 2003 wordt LDAP-verkeer via het netwerk automatisch beveiligd:
 • Active Directory: domeinen en vertrouwensrelaties
 • Active Directory: sites en services
 • Active Directory-schema
 • Active Directory: gebruikers en computers
 • ADSI bewerken
 • Dsmove.exe
 • Dsrm.exe
 • Dsadd.exe
 • Dsget.exe
 • Dsmod.exe
 • Dsquery.exe
 • Groepsbeleid Management Console
 • Objectkiezer
Microsoft raadt u aan LDAP-beheerdersverkeer te ondertekenen en te coderen door de beheerprogramma's van Windows Server 2003 alleen te implementeren op Microsoft Windows XP en Windows Server 2003-lidcomputers en domeincontrollers van Windows Server 2003 en Windows 2000 Service Pack 4 (SP4). Op deze wijze blijft uw netwerk veilig.

Windows 2000 Service Pack 2 en eerdere versies

Waarschuwing Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortvloeien uit een verkeerd gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is dan ook voor uw eigen risico.Als u met de Active Directory-beheerprogramma's van Windows Server 2003-domeincontrollers van Windows 2000 wilt beheren waarop Windows 2000 Service Pack 2 (SP2) of een vorige versie is geïnstalleerd wanneer er wordt onderhandeld over NTLM-verificatie, kunt u de beheerprogramma's zo instellen dat deze niet-beveiligd LDAP-verkeer gebruiken voor communicatie. Gebruik de volgende stappen voor het uitschakelen van ondertekend of gecodeerd LDAP-verkeer:
 1. Start de Register-editor.
 2. Zoek de volgende registersleutel in de Register-editor: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags.
 3. Klik op Bewerken, wijs Nieuw aan en klik op DWORD-waarde.
 4. Typ ADsOpenObjectFlags in het tekstvak dat verschijnt en druk op enter.
 5. Dubbelklik op de registersleutel ADsOpenObjectFlags die u zojuist hebt gemaakt en wijzig de Waardegegevens in een van de volgende waarden

  Waardegegevens (hexadecimaal)Uitschakelen
  1Ondertekenen
  2Codering
  3Codering en ondertekening


Waarschuwing Met deze procedure wordt het gebruik van ondertekend of gecodeerd LDAP-verkeer voor bepaalde beheerprogramma's van Active Directory uitgeschakeld. Wij raden u aan deze functie niet uit te schakelen.

U schakelt de ondertekening en codering van LDAP-verkeer voor de Active Directory-beheerprogramma's voor Windows Server 2003 uit door de waarde ADsOpenObjectFlags in te stellen op 0x03 in de volgende registersleutel op de clientcomputer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Start de beheerprogramma's opnieuw op nadat u de registersleutel ADsOpenObjectFlags hebt ingesteld. Beheerders kunnen ook de Windows 2000-versies van de programma's gebruiken voor domeincontrollers van Windows 2000 met SP2 of vorige versies op clients en servers met Windows 2000. De client kan geen verbinding maken met een eerdere versie van de server als de client verifieert met NTLM. Dit kan bijvoorbeeld voorkomen in inter-forest-vertrouwensrelaties of als de client verbinding maakt met de server met een IP-adres.

De modules en opdrachtregelprogramma's van Windows Server 2003 waarmee LDAP-verkeer via het netwerk automatisch wordt beveiligd. De volgende foutberichten kunnen verschijnen:
 • Active Directory: domeinen en vertrouwensrelaties: De configuratiegegevens, die deze onderneming beschrijven, zijn niet beschikbaar. De server is niet operationeel of de configuratiegegevens, die deze onderneming beschrijven, zijn niet beschikbaar. Active Directory niet beschikbaar is. Neem contact op met de systeembeheerder en controleer of het domein correct is geconfigureerd en momenteel online is.
 • Naamgevingsgegevens over sites en services van Active Directory kunnen niet worden geladen omdat: Active Directory niet beschikbaar is. Neem contact op met de systeembeheerder en controleer of het domein correct is geconfigureerd en momenteel online is.
 • Windows kan geen verbinding maken met het nieuwe forest: de server niet operationeel is.
 • Active Directory-schema: Kan de domeincontroller niet instellen. De adreslijstservice is niet beschikbaar.
 • Gebruikers van Active Directory en Windows-computers kunnen geen verbinding maken met het nieuwe domein omdat: de server niet operationeel is.
 • Kan naamgevingsgegevens niet vinden vanwege dit probleem: Active Directory niet beschikbaar is. Neem contact op met de systeembeheerder en controleer of het domein correct is geconfigureerd en momenteel online is.
 • ADSI bewerken - Dsmove.exe - dsmove is mislukt: dn van het object: De adreslijstservice is niet beschikbaar.
 • Dsrm.exe - dsrm is mislukt: De adreslijstservice is niet beschikbaar.
 • Dsadd.exe - dsadd is mislukt: <dn van het object>: De adreslijstservice is niet beschikbaar.
 • Dsget.exe - dsget is mislukt: De adreslijstservice is niet beschikbaar.
 • Dsmod.exe - dsmod is mislukt: dn van het object :De adreslijstservice is niet beschikbaar.
 • Dsquery.exe - dsquery is mislukt: De adreslijstservice is niet beschikbaar.
 • Groepsbeleid Management Console: De opgegeven netwerkbron of het opgegeven netwerkapparaat is niet langer beschikbaar.
 • Objectzoeker: Object niet gevonden.
Eigenschappen

Artikel-id: 325465 - Laatst bijgewerkt: 15 jan. 2008 - Revisie: 1

Feedback