Kontrolery domen z systemem Windows 2000 wymagają dodatku SP3 lub nowszego w przypadku użycia narzędzi administracyjnych systemu Windows Server 2003

Ważne: Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru utwórz jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Streszczenie

Domyślnie narzędzia administracyjne usługi Active Directory w systemach z rodziny Windows Server 2003 podpisują i szyfrują cały ruch LDAP (Lightweight Directory Access Protocol). Podpisywanie ruchu LDAP gwarantuje, że zapakowane dane pochodzą ze znanego źródła, nie zostały w sposób nieautoryzowany zmodyfikowane i nie trafiają w postaci zwykłego tekstu do sieci, gdzie mogą zostać odczytane za pomocą takich narzędzi do śledzenia sieci, jak Monitor sieci. Narzędzia administracyjne usługi Active Directory mogą także negocjować przy użyciu protokołu uwierzytelniania NTLM zamiast podpisywania LDAP. Istnieją dwie sytuacje, w których wywołuje się uwierzytelnianie NTLM:
 • administracja kontrolerami domeny z systemem Windows 2000, które znajdują się w zewnętrznym lesie, przyłączonym przez relacje zaufania wcześniejszej wersji;
 • użycie przystawek MMC w odniesieniu do konkretnego kontrolera domeny, wskazanego przez jego adres IP. Można na przykład kliknąć przycisk Start, kliknąć polecenie Uruchom, a następnie wpisać polecenie dsa.msc /server=x.x.x.x, gdzie x.x.x.x to adres IP kontrolera domeny.
Aby korzystać z narzędzi administracyjnych usługi Active Directory w systemie Windows Server 2003 przy negocjowaniu uwierzytelniania NTML z kontrolerami domeny z systemem Microsoft Windows, administratorzy muszą wykonać jedną z poniższych czynności:
 • Zainstaluj dodatek Service Pack 3 (SP3) dla systemu Windows 2000 na kontrolerach domeny z systemem Windows 2000.

  -lub-
 • Wyłącz podpisywanie i pieczętowanie LDAP w rejestrze komputera klienckiego, na którym są uruchamiane narzędzia administracyjne, a następnie ponownie uruchom te narzędzia na kliencie.
Do przystawek i narzędzi wiersza polecenia automatycznie zabezpieczających ruch LDAP w systemie Windows Server 2003 należą:
 • Domeny i relacje zaufania usługi Active Directory
 • Lokacje i usługi Active Directory
 • Schemat usługi Active Directory
 • Użytkownicy i komputery usługi Active Directory
 • Edycja ADSI
 • Dsmove.exe
 • Dsrm.exe
 • Dsadd.exe
 • Dsget.exe
 • Dsmod.exe
 • Dsquery.exe
 • Konsola Zarządzanie zasadami grupy
 • Selektor obiektów
Firma Microsoft, z uwagi na bezpieczeństwo sieci, zaleca podpisywanie i szyfrowanie administracyjnego ruchu LDAP przez wdrożenie narzędzi administracyjnych systemu Windows Server 2003 wyłącznie na komputerach członkowskich z systemem Microsoft Windows XP i Windows Server 2003 oraz kontrolerach domeny z systemem Windows Server 2003 i Windows 2000 z dodatkiem Service Pack 4 (SP4).

W przypadku systemu Windows 2000 z dodatkiem Service Pack 2 i wersji wcześniejszych

Ostrzeżenie: Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Możesz używać Edytora rejestru na własną odpowiedzialność.W celu wykorzystywania narzędzi administracyjnych usługi Active Directory w systemie Windows Server 2003 do zarządzania kontrolerami domeny z systemem Windows 2000 z zainstalowanym dodatkiem Service Pack 2000 (SP2) lub starszym, gdy negocjowane jest uwierzytelnianie NTLM, narzędzia administracyjne można tak skonfigurować, aby komunikowały się przy użyciu niezabezpieczonego ruchu LDAP. Aby wyłączyć podpisany lub zaszyfrowany ruch LDAP, wykonaj następujące kroki:
 1. Uruchom Edytor rejestru.
 2. W Edytorze rejestru zlokalizuj następujący klucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags.
 3. Kliknij menu Edycja, wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
 4. W wyświetlonym polu wpisz ADsOpenObjectFlags i naciśnij klawisz Enter.
 5. Kliknij dwukrotnie utworzony klucz rejestru ADsOpenObjectFlags i wybierz jedno z poniższych ustawień dla opcji Dane wartości:

  Dane wartości (szesnastkowe)Wyłącza
  1Podpisywanie
  2Szyfrowanie
  3Szyfrowanie i podpisywanie


Przestroga: Ta procedura uniemożliwi niektórym narzędziom administracyjnym usługi Active Directory korzystanie z podpisanego lub zaszyfrowanego ruchu LDAP. Firma Microsoft nie zaleca wyłączania tej opcji.

Aby wyłączyć podpisywanie i szyfrowanie ruchu LDAP dla narzędzi usługi Active Directory systemu Windows Server 2003, ustaw dla wartości rejestru ADsOpenObjectFlags wartość 0x03 w następującym kluczu rejestru na komputerze klienckim:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdminDebug\ADsOpenObjectFlags
Po ustawieniu klucza rejestru ADsOpenObjectFlags uruchom ponownie narzędzia administracyjne. Administratorzy mogą również używać narzędzi w wersji z systemu Windows 2000 w odniesieniu do kontrolerów domeny z systemem Windows 2000 z dodatkiem SP2 lub starszym na klientach i serwerach z zainstalowanym systemem Windows 2000. Klient nie może wynegocjować połączenia z serwerem w starszej wersji w przypadku próby uwierzytelnienia przy użyciu protokołu NTLM. Może to na przykład nastąpić wówczas, gdy istnieje relacja zaufania między lasami lub gdy klient usiłuje połączyć się z serwerem przy użyciu adresu IP.

Przystawki i narzędzia wiersza polecenia automatycznie zabezpieczają ruch LDAP w systemie Windows Server 2003. Do potencjalnych komunikatów o błędach należą:
 • Domeny i relacje zaufania usługi Active Directory: Informacje o konfiguracji opisujące to przedsięwzięcie nie są dostępne. Serwer nie działa lub informacje o konfiguracji opisujące to przedsięwzięcie nie są dostępne. Usługa katalogowa nie jest dostępna. Skontaktuj się z administratorem systemu, aby zweryfikować, że domena jest właściwie skonfigurowana oraz że jest aktualnie w trybie online.
 • Lokacje i usługi Active Directory: Nie można zlokalizować informacji dotyczących nazwy, ponieważ: Usługa katalogowa nie jest dostępna. Skontaktuj się z administratorem systemu, aby zweryfikować, że domena jest właściwie skonfigurowana oraz że jest aktualnie w trybie online.
 • System Windows nie może połączyć się z nowym lasem, ponieważ: Serwer nie działa.
 • Schemat usługi Active Directory: Nie można ustawić kontrolera domeny. Usługa katalogowa jest niedostępna.
 • Użytkownicy i komputery usługi Active Directory: System Windows nie może połączyć się z nową domeną, ponieważ: Serwer nie działa.
 • Nie można zlokalizować informacji dotyczących nazwy, ponieważ: Usługa katalogowa nie jest dostępna. Skontaktuj się z administratorem systemu, aby zweryfikować, że domena jest właściwie skonfigurowana oraz że jest aktualnie w trybie online.
 • Edycja ADSI - Dsmove.exe dsmove nie powiodło się: dn obiektu: Usługa katalogowa jest niedostępna.
 • Dsrm.exe dsrm nie powiodło się: Usługa katalogowa jest niedostępna.
 • Dsadd.exe dsadd nie powiodło się: <dn obiektu>: Usługa katalogowa jest niedostępna.
 • Dsget.exe dsget nie powiodło się: Usługa katalogowa jest niedostępna.
 • Dsmod.exe dsmod nie powiodło się: dn obiektu :Usługa katalogowa jest niedostępna.
 • Dsquery.exe dsquery nie powiodło się: Usługa katalogowa jest niedostępna.
 • Konsola Zarządzanie zasadami grupy: Określone zasoby sieciowe lub urządzenie są już niedostępne.
 • Selektor obiektów: Nie znaleziono obiektu.
Właściwości

Identyfikator artykułu: 325465 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia