How to enable LDAP al iniciar sesión en Windows Server 2008

Seleccione idioma Seleccione idioma
Id. de artículo: 935834 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

PUBLICACIÓN RÁPIDA

PUBLICACIÓN RÁPIDA ARTÍCULOS PROPORCIONAN INFORMACIÓN EN RESPUESTA A LAS NUEVAS O TEMAS ÚNICOS Y SE ACTUALIZAN A MEDIDA QUE NUEVA INFORMACIÓN DISPONIBLE.

INTRODUCCIÓN

La seguridad de un servidor de directorio puede mejorarse significativamente al configurar el servidor para rechazar la autenticación Simple y capa de seguridad (SASL) Enlaces LDAP que no se solicitan (comprobación de integridad) de la firma o rechazar LDAP simple enlaza que se llevan a cabo en una conexión de texto no cifrado (no-SSL/TLS cifrado). SASLs puede incluir protocolos como Negotiate, Kerberos, NTLM y protocolos de texto implícita.

El tráfico de red sin firmar es susceptible a ataques de reproducción en el que un intruso intercepta el intento de autenticación y el errorance de un vale. El intruso puede volver a utilizar el vale para suplantar al usuario legítimo. AEditionen un aliado, el tráfico de red sin firmar es susceptible a ataques de intermediario en el que un intruso captura paquetes entre el cliente y el servidor, cambios de los paquetes y, a continuación, los reenvía al servidor. Si este se produce en un servidor LDAP, un atacante puede hacer que un servidor tomar decisiones que se basan en forjado solicitudes del cliente LDAP.

En este artículo se describe cómo configurar el servidor de directorio para proteger frente a dichos ataques.

Más información

Cómo detectar a clientes que no utilizan el"RRequerir firma" opción

Los clientes que se basan en SASL sin signo (Negotiate, Kerberos, NTLM o Digest) LDAP se enlaza o en LDAP simple se enlaza a través de una conexión no es SSL/TLS dejar de funcionar Después de realizar Este cambio de configuración. Para ayudar a identificar Estos clientes, el servidor de directorio registros un evento de resumen 2887 una vez que se produjo cada 24 horas para indicar cuántos enlaces de este tipo. Se recomienda que se configurar theclientes no se debe utilizar estos enlaces. Después de estos eventos no se observan durante un período prolongado, le recomendamos que configure el servidor para rechazar estos enlaces.

Si tienes más información para identificar a estos clientes, puede configurar el servidor de directorio para proporcionar el registro más detallados. Este registro adicional registrará un suceso 2889 Cuando un cliente intenta realizar un enlace LDAP sin signo. El registro Mostrars el Dirección IP del cliente y la identidad que el cliente intentó utilizar para autenticar. Puede habilitar un registro adicional estableciendo el Eventos de la interfaz LDAP diagnóstico si se establece en 2 (Basic). Para obtener más información acerca de cómo cambiar la configuración de diagnóstica, consulte el siguiente sitio Web de Microsoft:
http://go.Microsoft.com/?linkid=9645087
Si el servidor de directorio está configurado rechazar sin signo LDAP SASL enlaza o LDAP simple se enlaza a través de una conexión no es SSL/TLS, el servidor de directorio registrará un suceso de resumen 2888 una vez que se producen cada 24 horas, cuando tales intentos de enlace.

Cómo configurar el directorio para requerir la firma de servidor LDAP

Mediante Directiva de grupo

Cómo configurar al servidor de requisito de firma de LDAP
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exey, a continuación, haga clic en ACEPTAR.
  2. En el Archivo menú, haga clic en Agregar o quitar complemento.
  3. En el Agregar o quitar complementos cuadro de diálogo, haga clic en Editor de administración de directiva de grupoy, a continuación, haga clic en Agregar.
  4. En el Objeto de directiva de grupo de selección cuadro de diálogo, haga clic en Examinar.
  5. En el Buscar un objeto de directiva de grupo cuadro de diálogo, haga clic en Directiva de dominio predeterminada en el Dominios, unidades organizativas y objetos de directiva de grupo vinculados área y, a continuación, haga clic en ACEPTAR.
  6. Haga clic en Finalizar.
  7. Haga clic en ACEPTAR.
  8. Expanda Directiva predeterminada de controladores de dominio, expanda Configuración del equipo, expanda Directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  9. Con el botón secundario Controlador de dominio: requisitos de firma de servidor LDAPy, a continuación, haga clic en Propiedades.
  10. En el Controlador de dominio: requisitos de propiedades de firma de servidor LDAP cuadro de diálogo, habilitar Definir esta configuración de directiva, Haga clic para seleccionar Requiere firma en el Definir esta configuración de directiva lista desplegable y, a continuación, haga clic en ACEPTAR.
  11. En el Confirmar cambio de configuración cuadro de diálogo, haga clic en .
Cómo configurar al cliente de requisito de firma de LDAP a través de directiva de equipo local
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exey, a continuación, haga clic en ACEPTAR.
  2. En el Archivo menú, haga clic en Agregar o quitar complemento.
  3. En el Agregar o quitar complementos cuadro de diálogo, haga clic en Editor de objetos de directiva de grupo, y, a continuación Haga clic en Agregar.
  4. Haga clic en Finalizar.
  5. Haga clic en ACEPTAR.
  6. Expanda Directiva de equipo local, expanda Configuración del equipo, expanda Directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  7. Con el botón secundario Seguridad de red: requisitos de firma de cliente LDAPy, a continuación, haga clic en Propiedades.
  8. En el Seguridad de red: requisitos de propiedades de firma de cliente LDAP cuadro de diálogo, Haga clic para seleccionar Requiere firma en la lista desplegable y, a continuación, haga clic en ACEPTAR.
  9. En el Confirmar cambio de configuración cuadro de diálogo, haga clic en .
Cómo configurar al cliente de requisito de firma de LDAP a través de un objeto de directiva de grupo del dominio
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exey, a continuación, haga clic en ACEPTAR.
  2. En el Archivo menú, haga clic en Agregar o quitar complemento.
  3. En el Agregar o quitar complementos cuadro de diálogo, haga clic en Editor de objetos de directiva de grupoy, a continuación, haga clic en Agregar.
  4. Haga clic en Examinary, a continuación, seleccione Directiva de dominio predeterminada (o el objeto de directiva de grupo para el que desea habilitar la firma de LDAP de cliente).
  5. Haga clic en ACEPTAR.
  6. Haga clic en Finalizar.
  7. Haga clic en Cerrar.
  8. Haga clic en ACEPTAR.
  9. Expanda Directiva de dominio predeterminada, expanda Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  10. En el Seguridad de red: requisitos de propiedades de firma de cliente LDAP cuadro de diálogo, haga clic para seleccionar Requiere firma en la lista desplegable y, a continuación, haga clic en ACEPTAR.
  11. En el Confirmar cambio de configuración cuadro de diálogo, haga clic en .
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
823659Cliente, servicio y las incompatibilidades de programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuario

Cómo utilizar las claves del registro

Para que podamos cambiar las claves del registro para usted, vaya a la "Corregirlo por mí. Si lo prefiere cambiar las claves de registro por sí mismo, vaya a la "Déjeme corregirlo yo mismo.

Corregirlo por mí

Para solucionar este problema automáticamente, haga clic en el Corregirlo el botón o vínculo, haga clic en Ejecutar en el Descarga de archivos diálogo cuadro y, a continuación, siga los pasos de la corrección que el asistente.
Solucionar el problema
Microsoft Fix it 50518
Notas
  • Este asistente puede estar sólo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no utiliza el equipo que tiene el problema, guarde la corrección la solución a una unidad flash o un CD y, a continuación, se ejecuta en el equipo que tiene el problema.
A continuación, vaya a la "¿Esto ha solucionado el problema?.

Déjeme corregirlo yo mismo

Importante: Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, copia de seguridad del registro antes de modificarlo. Luego puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro en Windows
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedity, a continuación, haga clic en ACEPTAR.
  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Haga clic en el LDAPServerIntegrity entrada del registro y, a continuación, haga clic en Modificar.
  4. Cambio Información del valor a 2y, a continuación, haga clic en ACEPTAR.
  5. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Haga clic en el ldapclientintegrity entrada del registro y, a continuación, haga clic en Modificar.
  7. Cambio de la Información del valor a 2y, a continuación, haga clic en ACEPTAR.
De forma predeterminada, para servicios de directorio ligero de Active Directory (AD LDS), la clave del registro no está disponible. Por lo tanto, ydeben crear unidades organizativas un Registro LDAPServerIntegrity entrada del tipo REG_DWORD bajo la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota El marcador de posición <InstanceName>representa el nombre de AD LDS de la instancia que<b00> </b00> </InstanceName>que desea cambiar.

Cómo comprobar los cambios de configuración

  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Ldp.exey, a continuación, haga clic en ACEPTAR.
  2. En el Conexión menú, haga clic en Conectar.
  3. En el Servidor campo y, en el Puerto campo, escriba el nombre del servidor y el puerto no es SSL/TLS de su servidor de directorio y, a continuación, haga clic en ACEPTAR.

    Nota
    para an Active Directory controlador de dominio, el puerto correspondiente es el 389.
  4. Una vez establecida una conexión, seleccione Enlazar En la página Conexión menú.
  5. Bajo Tipo de enlace, seleccione Enlace simple.
  6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en ACEPTAR.
Si recibe el siguiente mensaje de error, ha configurado correctamente el servidor de directorio:
En Ldap_simple_bind_s () no se pudo: se requiere autenticación sólida

¿Esto ha solucionado el problema?

  • Compruebe si el problema está solucionado. Si se soluciona el problema, ya ha terminado con esta sección. Si no se soluciona el problema, puede Póngase en contacto con soporte técnico.
  • Agradeceríamos sus comentarios. Para proporcionar comentarios o informar de cualquier problema con esta solución, deja un comentario en el "Corregirlo por mí"blog, o envíenos un mensaje de correo electrónico.

DESCARGO DE RESPONSABILIDAD

MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES NO REALICE NINGUNA GARANTÍA SOBRE LA IDONEIDAD DE LA INFORMACIÓN CONTENIDA EN LOS DOCUMENTOS Y GRÁFICOS RELACIONADOS PUBLICAN EN ESTE SITIO WEB PARA CUALQUIER PROPÓSITO. LOS DOCUMENTOS Y GRÁFICOS RELACIONADOS PUBLICADOS EN ESTE SITIO WEB PODRÍAN INCLUIR IMPRECISIONES TÉCNICAS O ERRORES TIPOGRÁFICOS. PERIÓDICAMENTE SE AGREGAN CAMBIOS A LA INFORMACIÓN DE ESTE DOCUMENTO. MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES PUEDEN REALIZAR MEJORAS Y/O CAMBIOS EN EL PRODUCTO (S) Y/O EL PROGRAMA (S) DESCRITOS EN ESTE DOCUMENTO EN CUALQUIER MOMENTO.

Para obtener más información acerca de las condiciones de uso, vaya al sitio Web de Microsoft siguiente:
http://support.Microsoft.com/tou/

Propiedades

Id. de artículo: 935834 - Última revisión: viernes, 07 de junio de 2013 - Versión: 2.0
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palabras clave: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 935834

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com