כיצד לאפשר LDAP חתימה ב- Windows Server 2008

תרגומי מאמרים תרגומי מאמרים
Article ID: 935834 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

פרסום מהיר

פרסום מהירה מאמרים לספק מידע בתגובה מתעוררים או נושאים ייחודיים ו עשוי להיות מעודכן כאשר מידע חדש הופך לזמין.

מבוא

אבטחת עבודה שרת מדריך כתובות אפשר לשפר באופן משמעותי על-ידי קביעת התצורה של השרת כדי לדחות אימות פשוט ואת שכבת אבטחה (SASL) LDAP מאגד המבקשים לא חתימה (אימות תקינות) או לדחות LDAP פשוט מאגד אשר מבוצעות על חיבור (שאינם-SSL/TLS מוצפנים) טקסט רגיל. SASLs עשויים לכלול בפרוטוקולים כגון משא ומתן, Kerberos, NTLM ופרוטוקולים תקציר.

תעבורת רשת לא חתומה היא פגיעה לתקיפות מסוג תקיפות הפעלה חוזרת בה פורץ מיירט ניסיון אימות ובעייהance של כרטיס. הפורץ למחזר את הכרטיס כדי להתחזות למשתמש לגיטימיות. Additionally, תעבורת רשת לא חתומה היא פגיעה לתקיפות מסוג man-in באמצע התקפות בה פורץ לכידת מנות בין הלקוח לשרת, משנה את המנות ולאחר מכן מעביר אותם לשרת. אם זה מתרחש בשרת LDAP, התוקף ניתן לגרום לשרת לקבל החלטות המבוססות על בקשות מזויפות מלקוח ה-LDAP.

מאמר זה מתאר כיצד להגדיר שרת מדריך הכתובות שלך כדי להגן עליהם מפני התקפות כאלה.

מידע נוסף

כיצד לגלות לקוחות שאינם משתמשים "Rחתימת equire" האפשרות

לקוחות אשר מסתמכים על SASL לא חתום (נהל משא ומתן, Kerberos, NTLM או תקציר) LDAP מאגד או על פשוט של LDAP מאגד בחיבור שאינו-SSL/TLS להפסיק לפעול לאחר ביצוע שינוי תצורה זה. כדי לסייע זיהוי לקוחות אלה, שרת מדריך כתובות יומן רישוםs אירוע סיכום 2887 פעם אחת בכל 24 שעות כדי לציין כמה איגודים כזו אירעה. אנו ממליצים לך קביעת תצורה של these ללקוחות לא להשתמש איגודים כאלה. לאחר אירועים אלה לא נמצא ב"צורה במשך תקופה ארוכה, אנו ממליצים להגדיר את שרת כדי לדחות איגודים כאלה.

אם דרוש לך מידע נוסף כדי לזהות לקוחות כאלה, באפשרותך להגדיר שרת מדריך הכתובות כדי לספק כניסה מפורט יותרs. רישום נוסף זה רישום של אירוע 2889 כאשר לקוח מנסה לבצע קישור ldap לא חתום. הרישום תצוגהs את כתובת ה-IP של הלקוח והן על הזהות שאליה הלקוח ניסה השתמש כדי אימות. באפשרותך להפעיל רישום נוספים זה על-ידי הגדרת אירועי ממשק LDAP הגדרה אבחון 2 (Basic). לקבלת מידע נוסף אודות אופן השינוי של הגדרות אבחון, לעבור אל אתר האינטרנט הבא של Microsoft:
http://go.microsoft.com/?linkid=9645087
אם נקבעה תצורה של שרת מדריך הכתובות כדי לדחות LDAP לא חתומים SASL מאגד או פשוט של LDAP מאגד בחיבור שאינו-SSL/TLS, שרת מדריך הכתובות ירשום אירוע סיכום 2888 פעם אחת בכל 24 שעות כאשר כגון לאגד ניסיונות להתרחש.

כיצד להגדיר את הספריה כדי לדרוש חתימה עבור שרת LDAP

באמצעות מדיניות קבוצתית

כיצד להגדיר השרת LDAP דרישת החתימה
  1. לחץ התחלה, לחץ על הפעלה, סוג mmc.exe, ולאחר מכן לחץ על אישור.
  2. ב- קובץ תפריט, לחץ על הוספה/הסרה של Snap-in.
  3. ב- הוספה או הסרה של יישומי Snap-in בתיבת הדו-שיח, לחץ על עורך ניהול מדיניות קבוצתית, ולאחר מכן לחץ על להוסיף.
  4. ב- אובייקט מדיניות קבוצתית בחר בתיבת הדו-שיח, לחץ על עיון.
  5. ב- איתור אובייקט מדיניות קבוצתית בתיבת הדו-שיח, לחץ על מדיניות קבוצת מחשבים המשמשת כברירת מחדל תחת קבוצות מחשבים, יחידות ארגוניות ו אובייקטי מדיניות קבוצתית המקושר אזור ולאחר מכן לחץ אישור.
  6. לחץ סיום.
  7. לחץ אישור.
  8. הרחב המדיניות של בקר התחום המשמש כברירת מחדל, הרחב את תצורת מחשב, הרחב את מדיניות, הרחב את הגדרות Windows, הרחב את הגדרות אבטחה, הרחב את פריטי מדיניות מקומיים, ולאחר מכן לחץ על אפשרויות אבטחה.
  9. לחץ לחיצה ימנית בקר תחום: דרישות חתימה עבור שרת LDAP, ולאחר מכן לחץ על מאפיינים.
  10. ב- בקר תחום: דרישות מאפייני חתימה עבור שרת LDAP בתיבת הדו-שיח, אפשר הגדרת מדיניות זו, לחץ כדי לבחור דרוש חתימה ב- הגדרת מדיניות זו הרשימה הנפתחת ולאחר מכן לחץ אישור.
  11. ב- אישור שינוי הגדרות בתיבת הדו-שיח, לחץ על כן.
כיצד להגדיר הלקוח LDAP דרישת החתימה באמצעות מדיניות מחשב מקומי
  1. לחץ התחלה, לחץ על הפעלה, סוג mmc.exe, ולאחר מכן לחץ על אישור.
  2. ב- קובץ תפריט, לחץ על הוספה/הסרה של Snap-in.
  3. ב- הוספה או הסרה של יישומי Snap-in בתיבת הדו-שיח, לחץ על עורך אובייקטי המדיניות הקבוצתית, ולאחר מכן לחץ להוסיף.
  4. לחץ סיום.
  5. לחץ אישור.
  6. הרחב מדיניות מחשב מקומי, הרחב את תצורת מחשב, הרחב את מדיניות, הרחב את הגדרות Windows, הרחב את הגדרות אבטחה, הרחב את פריטי מדיניות מקומיים, ולאחר מכן לחץ על אפשרויות אבטחה.
  7. לחץ לחיצה ימנית אבטחת רשת: דרישות חתימה עבור לקוח LDAP, ולאחר מכן לחץ על מאפיינים.
  8. ב- אבטחת רשת: דרישות מאפייני חתימה עבור לקוח LDAP בתיבת הדו-שיח, לחץ כדי לבחור דרוש חתימה בתוך הרשימה הנפתחת ולאחר מכן לחץ אישור.
  9. ב- אישור שינוי הגדרות בתיבת הדו-שיח, לחץ על כן.
כיצד להגדיר את הלקוח דרישת החתימה של LDAP באמצעות אובייקט מדיניות קבוצתית לקבוצת מחשבים
  1. לחץ התחלה, לחץ על הפעלה, סוג mmc.exe, ולאחר מכן לחץ על אישור.
  2. ב- קובץ תפריט, לחץ על הוספה/הסרה של Snap-in.
  3. ב- הוספה או הסרה של יישומי Snap-in בתיבת הדו-שיח, לחץ על עורך אובייקטי המדיניות הקבוצתית, ולאחר מכן לחץ על להוסיף.
  4. לחץ עיון, ולאחר מכן בחר מדיניות קבוצת מחשבים המשמשת כברירת מחדל (או אובייקט המדיניות הקבוצתית שברצונך להפוך לקוח LDAP חתימה).
  5. לחץ אישור.
  6. לחץ סיום.
  7. לחץ סגור.
  8. לחץ אישור.
  9. הרחב מדיניות קבוצת מחשבים המשמשת כברירת מחדל, הרחב את תצורת מחשב, הרחב את הגדרות Windows, הרחב את הגדרות אבטחה, הרחב את פריטי מדיניות מקומיים, ולאחר מכן לחץ על אפשרויות אבטחה.
  10. ב- אבטחת רשת: דרישות מאפייני חתימה עבור לקוח LDAP בתיבת הדו-שיח, לחץ כדי לבחור דרוש חתימה בתוך הרשימה הנפתחת ולאחר מכן לחץ אישור.
  11. ב- אישור שינוי הגדרות בתיבת הדו-שיח, לחץ על כן.
לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
823659לקוח, שירות ותוכנית אי תאימויות שעלולות להתרחש בעת שינוי הגדרות אבטחה והקצאות של זכויות משתמש

כיצד להשתמש במפתחות הרישום

כדי לאפשר לנו לשנות את מפתחות הרישום עבורך, עבור אל "תקנו עבורי"סעיף. אם אתה מעדיף לשינוי הרישום מפתחות בעצמך, עבור אל "אני מעדיף לתקן בעצמי"סעיף.

תקנו עבורי

כדי לתקן בעיה זו באופן אוטומטי, לחץ תקנו לחצן או קישור, לחץ הפעלה ב- הורדת קבצים הדו-שיח ולאחר מכן בצע את השלבים התיקון באשף.
לפתור את הבעיה
Microsoft Fix it 50518
הערות
  • אשף זה עשוי להיות באנגלית בלבד. עם זאת, התיקון האוטומטי פועל גם עבור גירסאות שפה אחרות של Windows.
  • אם אינך משתמש במחשב שבו אירעה הבעיה, שמור את התיקון הוא פתרון כונן הבזק או בתקליטור, ולאחר מכן להפעיל אותו במחשב שבו אירעה הבעיה.
לאחר מכן, לעבור "האם הבעיה נפתרה?"סעיף.

אני מעדיף לתקן בעצמי

חשוב בסעיף זה, השיטות או המשימות מכילות פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלול לגרום לבעיות חמורות אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, לגבות את הרישום לפני שינויו. לאחר מכן, באפשרותך לשחזר את הרישום במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
  1. לחץ התחלה, לחץ על הפעלה, סוג regedit, ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. לחץ לחיצה ימנית LDAPServerIntegrity ערך הרישום ולאחר מכן לחץ שינוי.
  4. שינוי נתוני ערך כדי 2, ולאחר מכן לחץ על אישור.
  5. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. לחץ לחיצה ימנית ldapclientintegrity ערך הרישום ולאחר מכן לחץ שינוי.
  7. שנה נתוני ערך כדי 2, ולאחר מכן לחץ על אישור.
כברירת מחדל, עבור Active Directory Lightweight Directory Services (AD LDS), מפתח הרישום אינו זמין. לכן, yעליך ליצור ou עבודה רישום LDAPServerIntegrity ערך מסוג REG_DWORD תחת מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
הערה מציין המיקום <InstanceName>מייצג את השם של AD LDS מופע שאליו<b00> </b00> </InstanceName>ברצונך לשנות.

כיצד לוודא שינויי תצורה

  1. לחץ התחלה, לחץ על הפעלה, סוג ldp.exe, ולאחר מכן לחץ על אישור.
  2. תחת חיבור תפריט, לחץ על להתחבר.
  3. ב- שרת שדה וב יציאה שדה, הקלד את שם השרת ואת היציאה לא-SSL/TLS של שרת מדריך הכתובות שלך ולאחר מכן לחץ אישור.

    הערה
    עבור Active Directory בקר קבוצת מחשבים, היציאה המתאים הוא 389.
  4. לאחר יצירת חיבור, בחר איגוד ב- חיבור תפריט.
  5. תחת אגד את הסוג, בחר איגוד פשוט.
  6. הקלד את שם המשתמש והסיסמה שלך ולאחר מכן לחץ אישור.
אם אתה מקבל את הודעת השגיאה הבאה, הגדרת בהצלחה שרת מדריך הכתובות שלך:
Ldap_simple_bind_s() נכשל: דרוש אימות חזק

האם הבעיה נפתרה?

  • בדוק אם הבעיה נפתרה. אם הבעיה נפתרה, סיימת עם סעיף זה. אם הבעיה לא נפתרה, באפשרותך פנה למחלקת התמיכה.
  • אנו מעריכים את המשוב שלך. כדי לספק משוב או הדוח בעיות כלשהן בפתרון זה, השאר הערה על "תקנו עבורי"בלוג, או שלח לנו הודעת דואר אלקטרוני.

כתב ויתור

MICROSOFT ו/או ספקיה להפוך לגבי ההתאמה של המידע הכלול במסמכים ופורסמו גרפיקה קרובים באתר אינטרנט זה למטרה כלשהי. מסמכים וגרפיקה קשורים שפורסמו באתר זה עשויים לכלול אי-דיוקים טכניים או שגיאות טיפוגרפיות. שינויים מעת לעת נוספים למידע הכלול בזאת. MICROSOFT ו/או ספקיה עשוי לבצע שיפורים ו/או שינויים במוצר (S) ו/או התוכנית (S) המתוארים בזאת בכל עת.

לקבלת מידע נוסף אודות תנאי השימוש של, עבור אתר האינטרנט הבאים של Microsoft:
http://support.microsoft.com/tou/

מאפיינים

Article ID: 935834 - Last Review: יום רביעי 19 יוני 2013 - Revision: 1.0
המידע במאמר זה חל על:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
מילות מפתח 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMthe
תרגום מכונה
חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.
כותרת מאמר זה באנגלית: 935834

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com