Kuidas võimaldada LDAP, logides sisse Windows Server 2008

Artiklite tõlked Artiklite tõlked
Artikli ID: 935834 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

KIIRE AVALDAMINE

KIIRE AVALDAMINE ARTIKLID TEAVET VASTUSEKS TEKKIMAS VÕI AINULAADNE TEEMASID JA VÕIB AJAKOHASTATAKSE, KUI SAADAKSE UUT TEAVET.

SISSEJUHATUS

Turvalisus a kataloogiserver saab oluliselt parandada seadistamine server tagasi lükata lihtsat autentimis- ja Security Layer (SASL) LDAP seob, mis ei taotle allkirjastamine (terviklikkuse kontrollimine) või lükata tagasi LDAP lihtne seob, mis viiakse läbi selge tekst (mitte-SSL/TLS-krüptitud) ühendus. SASLs võivad sisaldada protokollide Negotiate, Kerberose NTLM ja seedimine protokolle.

Allkirjastamata võrguliiklust on vastuvõtlik rünnakuid Kordus kus sissetungija intercepts autentimise katse ja selle problemnevusi pilet. Sissetungija võib taaskasutada pileti õiguspärane kasutaja kehastamise lubamine. Additionliitlane, allkirjastamata võrguliiklust on vastuvõtlikud mees-on-the-middle rünnakud kus sissetungija lööb paketid kliendi ja serveri vahel, muudab paketid ja seejärel edastab need serverile. Kui see toimub LDAP server, ründaja Saate põhjustada server teha otsuseid, mis põhinevad võltsitud taotlustele LDAP kliendi.

Selles artiklis kirjeldatakse, kuidas konfigureerida oma kataloogiserveri selliste rünnakute eest kaitsta.

Lisateave

Kuidas leida kliente, kes ei kasuta "Require allkirjastamine" valik

Klientidele mida allkirjastamata SASL (Negotiate, Kerberos, NTLM või referaadi) tugineda LDAP seob või LDAP lihtne seob mitte-SSL/TLS-ühenduse kaudu töötamise pärast seda, kui teete selle konfiguratsiooni muuta. Et aidata tuvastada need kliendid, kataloog serverisse Logis kokkuvõtlik üritus 2887 üks kord iga 24 tunni järel näitamaks, kui palju selline seob ilmnes. Me soovitame, et te Konfigureerige theSE klientidele ei ole selline seob. Pärast sellised sündmused on täheldatud pikema aja jooksul, soovitame konfigureerida server tagasi lükata selline seob.

Kui olete rohkem teavet nende klientide tuvastamiseks, saate konfigureerida kataloogiserver anda täpsemat Logis. Täiendav metsaraie Logi sündmus 2889 Kui klient üritab allkirjastamata LDAP siduda. Metsaraie Kuvas selle IP-aadress kliendile ja et klient püüdnud abil autentida. Saate lubada täiendavaid metsaraie seadmisega ning LDAP liides sündmused diagnostilised sätteks 2 (Basic). Diagnostika sätete muutmise kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://go.microsoft.com/?linkid=9645087
Kui kataloog server on konfigureeritud keelduda märgita SASL LDAP seob või LDAP lihtne seob mitte-SSL/TLS-ühenduse kaudu, kataloog server logib kokkuvõtlik üritus 2888 üks kord iga 24 tunni järel kui selline siduda katsed toimuvad.

Kuidas konfigureerida kataloogi LDAP server allkirja nõuda

Rühmapoliitika abil

Kuidas määrata serveri LDAP allkirjastamise nõue
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp MMC.exe, ja seejärel klõpsake nuppu Ok.
  2. Kohta ning Faili menüü, klõpsake nuppu Lisa/eemalda lisandmoodul.
  3. Aastal ning Lisa või Eemalda lisandmoodulid dialoogiboksis klõpsake nuppu Rühmapoliitika juhtimise redaktor, ja seejärel klõpsake nuppu Lisada.
  4. Aastal ning Vali rühmapoliitika objekt dialoogiboksis klõpsake nuppu Sirvi.
  5. Aastal ning Sirvi rühmapoliitika objektide otsimiseks dialoogiboksis klõpsake nuppu Domeeni vaikepoliitika all on Domeenid, organisatsiooniüksused ja lingitud rühmapoliitika objektid ala ja seejärel klõpsake nuppu Ok.
  6. Klõpsake nuppu Viimistlus.
  7. Klõpsake nuppu Ok.
  8. Laienda Domeeni kontrolleri vaikepoliitika, laiendada Arvuti konfiguratsioon, laiendada Poliitika, laiendada Windowsi sätted, laiendada Turvasätete muutmine, laiendada Kohalikud poliitikad, ja seejärel klõpsake nuppu Turvasuvandid.
  9. Paremklõpsake Domeenikontroller: LDAP server nõuetele allakirjutamise, ja seejärel klõpsake nuppu Atribuudid.
  10. Aastal ning Domeenikontroller: LDAP server allkirja nõuded atribuudid dialoogiboks, võimaldavad See poliitikasäte määratleda, Klõpsake valimiseks Nõua allkirja aastal ning See poliitikasäte määratleda ripploendist, ja seejärel klõpsake nuppu Ok.
  11. Aastal ning Kinnitage sätete muutmine dialoogiboksis klõpsake nuppu Jah.
Kuidas seada klient LDAP allkirjastamise nõue kohaliku arvuti poliitika kaudu
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp MMC.exe, ja seejärel klõpsake nuppu Ok.
  2. Kohta ning Faili menüü, klõpsake nuppu Lisa/eemalda lisandmoodul.
  3. Aastal ning Lisa või Eemalda lisandmoodulid dialoogiboksis klõpsake nuppu Rühmapoliitika objektiredaktori, ja siis Klõpsake nuppu Lisada.
  4. Klõpsake nuppu Viimistlus.
  5. Klõpsake nuppu Ok.
  6. Laienda Kohaliku arvuti poliitika, laiendada Arvuti konfiguratsioon, laiendada Poliitika, laiendada Windowsi sätted, laiendada Turvasätete muutmine, laiendada Kohalikud poliitikad, ja seejärel klõpsake nuppu Turvasuvandid.
  7. Paremklõpsake Võrgu turvalisus: LDAP kliendi nõuetele allakirjutamise, ja seejärel klõpsake nuppu Atribuudid.
  8. Aastal ning Võrgu turvalisus: LDAP kliendi allkirja nõuded atribuudid dialoogiboksis Klõpsake valimiseks Nõua allkirja ripploendist, ja seejärel klõpsake nuppu Ok.
  9. Aastal ning Kinnitage sätete muutmine dialoogiboksis klõpsake nuppu Jah.
Kuidas seada klient LDAP allkirjastamise nõue teel domeeni rühmapoliitika objekt
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp MMC.exe, ja seejärel klõpsake nuppu Ok.
  2. Kohta ning Faili menüü, klõpsake nuppu Lisa/eemalda lisandmoodul.
  3. Aastal ning Lisa või Eemalda lisandmoodulid dialoogiboksis klõpsake nuppu Rühmapoliitika objektiredaktori, ja seejärel klõpsake nuppu Lisada.
  4. Klõpsake nuppu Sirvi, ja seejärel valige Domeeni vaikepoliitika (või mille soovite kliendi LDAP allkirjastamise lubamiseks rühmapoliitika objekti).
  5. Klõpsake nuppu Ok.
  6. Klõpsake nuppu Viimistlus.
  7. Klõpsake nuppu Sulgege.
  8. Klõpsake nuppu Ok.
  9. Laienda Domeeni vaikepoliitika, laiendada Arvuti konfiguratsioon, laiendada Windowsi sätted, laiendada Turvasätete muutmine, laiendada Kohalikud poliitikad, ja seejärel klõpsake nuppu Turvasuvandid.
  10. Aastal ning Võrgu turvalisus: LDAP kliendi allkirja nõuded atribuudid Märkige dialoogiboksis Nõua allkirja ripploendist, ja seejärel klõpsake nuppu Ok.
  11. Aastal ning Kinnitage sätete muutmine dialoogiboksis klõpsake nuppu Jah.
Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
823659Klient, teenindus ja programm mittevastavused, mis võivad ilmneda, kui muudate turvasätteid ja kasutaja õiguste ülesanded

Kuidas kasutada registrivõtmed

Et meid muuta registrivõtmed teile, minge selle "Lahendage minu eest"jagu. Kui soovite muuta registrivõtmed ise, minna selle "Las ma lahendan ise"jagu.

Lahendage minu eest

Paranda see probleem automaatselt, klõpsake selle Seda parandada nupp või link, klõpsake Käivita aastal ning Faili alla laadida dialoogiboksi, ja seejärel järgige lahendusviisardi see võlur.
Probleemi lahendamiseks
Microsoft Fix it 50518
Märkmed
  • See viisard võib olla üksnes ingliskeelne. Siiski automaatne lahendus toimib ka Windowsi versioonide muu keel.
  • Kui te ei kasuta arvutit, millel on probleem, salvestage see lahendus mäluseadmele või CD-le ja seejärel käivitage see probleemses arvutis, kus probleem.
Seejärel jätkake nende "Kas see lahendas probleemi?"jagu.

Las ma lahendan ise

Oluline See osa, meetod või ülesanne sisaldab juhiseid, mis õpetavad registrit muutma. Registri ekslik muutmine võib samas põhjustada tõsiseid probleeme. Seega veenduge, et te järgite neid samme hoolikalt. Täiendavaks kaitseks varundage register enne selle muutmist. Seejärel saate registri taastada mõne probleemi ilmnemisel. Kuidas varundada ja taastada registri kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
322756 Varundamine ja taastamine Windows registry
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp regedit, ja seejärel klõpsake nuppu Ok.
  2. Leidke ja klõpsake järgmist registri alamvõtit:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Paremklõpsake selle LDAPServerIntegrity registri kanne ja klõpsake nuppu Muuta.
  4. Muutus Väärtuse andmed et 2, ja seejärel klõpsake nuppu Ok.
  5. Leidke ja klõpsake järgmist registri alamvõtit:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Paremklõpsake selle ldapclientintegrity registri kanne ja klõpsake nuppu Muuta.
  7. Muutus on Väärtuse andmed et 2, ja seejärel klõpsake nuppu Ok.
Vaikimisi, Active Directory Lightweight Directory Services (AD LDS), registri võti ei ole saadaval. Seetõttu, you tuleb luua a LDAPServerIntegrity register kanne REG_DWORD-tüüpi alusel järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Märkus Kohatäite <InstanceName>tähistab AD LDS nime astmes seda, et<b00> </b00> </InstanceName>mida soovite muuta.

Kuidas kontrollida konfiguratsiooni muudatusi

  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp LDP.exe, ja seejärel klõpsake nuppu Ok.
  2. All on Ühendus menüü, klõpsake nuppu Ühenduse loomine.
  3. Aastal ning Server välja ja selle Sadama välja, tippige serveri nimi ja kataloog server mitte-SSL/TLS port ja klõpsake nuppu Ok.

    Märkus
    For an Active Directory domeenikontroller, mida kohaldatakse port on 389.
  4. Pärast seda, kui ühendus on loodud, valige Siduda kohta ning Ühendus menüü.
  5. Alusel Siduda tüüp, valige Lihtne siduda.
  6. Tippige kasutajanimi ja parool ja klõpsake nuppu Ok.
Kui kuvatakse järgmine tõrketeade, olete edukalt konfigureeritud kataloog serverisse:
Ldap_simple_bind_s() nurjus: nõutav on tugev autentimine

Kas see lahendas probleemi?

  • Kontrollige, kas probleem on lahenenud. Kui probleem ei lahenenud, olete selle jaotisega lõpetanud. Kui probleem ei ole lahenenud, võite võtke ühendust toega.
  • Hindame teie tagasisidet. Anda tagasisidet või teatada mõnest probleemist selle lahendusega, jätke kommentaar on "Lahendage minu eest"blogi, või saatke meile oma e-kiri.

LAHTIÜTLEMINE

MICROSOFT JA/VÕI VASTAVAD TARNIJAD TEHA MINGEID LUBADUSI SOBIVUSE KOHTA TEAVET, MIS SISALDUB DOKUMENTIDES JA SELLEGA SEOTUD GRAAFIKA AVALDATUD KÄESOLEVAL VEEBILEHEL MIS TAHES EESMÄRGIL. DOKUMENDID JA SELLEL VEEBILEHEL AVALDATUD SEOTUD PILTE VÕIKS SISALDADA TEHNILISI EBATÄPSUSI VÕI TRÜKIVIGU. SIINOLEVALE TEABELE TEHAKSE PERIOODILISELT LISATAKSE MUUTUSED. MICROSOFT JA/VÕI VASTAVAD TARNIJAD VÕIB TEHA PARANDUSI JA/VÕI MUUDATUSI TOOTE (ID) JA/VÕI PROGRAMMI (S) KIRJELDATUD SIIN IGAL AJAL.

Lisateavet kasutustingimustega külastage järgmist Microsofti veebisaiti:
http://support.microsoft.com/Tou/

Atribuudid

Artikli ID: 935834 - Viimati läbi vaadatud: 20. juuni 2013 - Redaktsioon: 1.0
Kehtib järgmise lõigu kohta:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Märksõnad: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 935834

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com