Cara mengaktifkan penandatanganan LDAP di Windows Server 2008

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 935834
Perbesar semua | Perkecil semua

Pada Halaman ini

PUBLIKASI CEPAT


ARTIKEL PUBLIKASI CEPAT MENYEDIAKAN INFORMASI UNTUK MENANGGAPI TOPIK YANG MUNCUL ATAU UNIK, DAN MUNGKIN DIPERBARUI SETELAH INFORMASI BARU TERSEDIA.

PENDAHULUAN

Keamanan server direktori dapat jauh ditingkatkan dengan mengonfigurasi server agar menolak Simple Authentication and Security Layer (SASL)pengikatan LDAP yang tidak memerlukan penandatanganan (verifikasi integritas) dan pengikatan LDAP sederhana yang dilakukan di sambungan teks biasa (tidak-terenkripsi-SSL/TLS). SASL mungkin dilengkapi protokol seperti Negotiate, Kerberos, NTLM, atau Digest.

Lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan pemutaran ulang di mana pembobol memotong upaya otentikasi dan penerbitan tiket. Pembobol dapat menggunakan kembali tiket tersebut untuk menirukan pengguna yang sah. Selain itu, lalu lintas jaringan yang tidak ditandatangani rentan terhadap serangan dari orang-di-tengah di mana pembobol menangkap paket di antara klien dan server, mengubah paket tersebut, kemudian meneruskannya ke server. Jika hal ini terjadi di server LDAP, penyerang dapat menyebabkan server mengambil keputusan berdasarkan permintaan yang dipalsukan dari klien LDAP.

Artikel ini menjelaskan cara mengonfigurasi server direktori Anda untuk melindunginya dari serangan tersebut.

INFORMASI LEBIH LANJUT

Menemukan klien yang tidak mengunakan opsiMemerlukan penandatanganan


Klien yang mengandalkan pengikatan LDAP SASL (Negotiate, Kerberos, NTLM, atau Digest) yang tidak ditandatangani atau pengikatan LDAP sederhana melalui sambungan non-SSL/TLS berhenti bekerja setelah Anda mengubah konfigurasi ini. Untuk membantu mengidentifikasi klien ini, server direktori akan mencatat log ringkasan kejadian 2887 satu kali setiap 24 jam untuk menunjukkan berapa kali pengikatan tersebut terjadi. Kami menyarankan Anda mengonfigurasikan klien ini untuk tidak menggunakan pengikatan tersebut. Setelah tidak ada kejadian yang teramati dalam waktu lama, kami menyarankan Anda mengonfigurasi server untuk menolak pengikatan tersebut.

Jika informasi yang lebih terperinci diperlukan untuk mengidentifikasi klien tersebut, server direktori dapat dikonfigurasikan untuk memberikan log yang lebih terperinci. Log tambahan ini akan mencatat kejadian 2889 apabila ada klien yang mencoba pengikatan LDAP yang tidak ditandatangani. Log akan menampilkanalamat IP klien dan identitas yang akan digunakan oleh klien untuk mengotentikasi. Log tambahan ini dapat diaktifkan dengan menyetel nilai diagnostik LDAP Interface Events ke 2 (Dasar). Untuk informasi selengkapnya tentang cara mengubah setelah diagnostik, kunjungi situs web Microsoft berikut ini:
http://technet.microsoft.com/id-id/library/cc961809(en-us).aspx

Jika server direktori dikonfigurasikan untuk menolak pengikatan LDAP SASL yang tidak ditandatangani atau pengikatan LADP sederhana melalui sambungan non-SSL/TLS, server direktori akan mencatat log ringkasan kejadian 2888 satu kali setiap 24 jam, apabila upaya pengikatan tersebut terjadi.

Mengonfigurasi Direktori agar memerlukan Penandatanganan Server LDAP

Menggunakan Kebijakan Grup

Menyetel persyaratan penandatanganan server LDAP
  1. Klik Mulai, klik Jalankan, ketik mmc.exe , kemudian klik OK.
  2. Pada menu Berkas, klik Tambah/Bongkar Snap-in.
  3. Di kotak dialog Tambah atau Bongkar Snap-in, klik Penyunting Pengelolaan Kebijakan Grup, klik Tambah.
  4. Di kotak dialog Pilih Objek Kebijakan Grup, klik Jelajah.
  5. Di kotak Jelajah untuk Objek Kebijakan Grup, klik Kebijakan Domain Bawaan di bidang Domain, OU dan Objek Kebijakan Grup yang terkait, kemudian klik OK.
  6. Klik Selesai.
  7. Klik OK.
  8. Luaskan Kebijakan Pengontrol Domain Bawaan, luaskan Konfigurasi Komputer, luaskan Kebijakan, luaskan Setelan Windows, luaskan Setelan Keamanan, luaskan Kebijakan Lokal, kemudian klik Opsi Keamanan.
  9. Klik kanan Pengontrol domain: Persyaratan penandatanganan server LDAP, kemudian klik Properti.
  10. Di kotak dialog Pengontrol domain: Properti persyaratan penandatanganan server LDAP, aktifkan Tetapkan setelan kebijakan ini, klik untuk memilih Memerlukan penandatanganan dalam daftar buka-bawah Tentukan setelan kebijakan ini, kemudian klik OK.
  11. Klik Ya di kotak dialog Konfirmasi Perubahan Setelan.
Menyetel persyaratan penandatanganan klien LDAP melalui kebijakan komputer lokal
  1. Klik Mulai, klik Jalankan, ketik mmc.exe , kemudian klik OK.
  2. Pada menu Berkas, klik Tambah/Bongkar Snap-in.
  3. Di kotak dialog Tambah atau Bongkar Snap-in, klik Penyunting Objek Kebijakan Grup, kemudian klik Tambah.
  4. Klik Selesai.
  5. Klik OK.
  6. Luaskan Kebijakan Komputer Lokal, luaskan Konfigurasi Komputer, luaskan Kebijakan, luaskan Setelan Windows, luaskan Setelan Keamanan, luaskan Kebijakan Lokal, kemudian klik Opsi Keamanan.
  7. Klik kanan Keamanan jaringan: Persyaratan penandatanganan klien LDAP, kemudian klik Properti.
  8. Di kotak dialog Keamanan jaringan: Properti persyaratan penandatanganan klien LDAP, klik untuk memilih Memerlukan penandatanganan dalam daftar buka-bawah, kemudian klik OK.
  9. Klik Ya di kotak dialog Konfirmasi Perubahan Setelan.
Menyetel persyaratan penandatanganan klien LDAP melalui kebijakan grup domain
  1. Klik Mulai, klik Jalankan, ketik mmc.exe , kemudian klik OK.
  2. Pada menu Berkas, klik Tambah/Bongkar Snap-in.
  3. Di kotak dialog Tambah atau Bongkar Snap-in, klik Penyunting Objek Kebijakan Grup, kemudian klik Tambah.
  4. Klik Jelajah..., pilih Kebijakan Domain Bawaan (atau kebijakan grup yang diinginkan untuk mengaktifkan penandatanganan klien LDAP)
  5. Klik OK.
  6. Klik Selesai.
  7. Klik Tutup.
  8. Klik OK.
  9. Luaskan Kebijakan Domain Bawaan, luaskan Konfigurasi Komputer, luaskan Setelan Windows, luaskan Setelan Keamanan, luaskan Kebijakan Lokal, kemudian klik Opsi Keamanan.
  10. Di kotak dialog Keamanan jaringan: Properti persyaratan penandatanganan klien LDAP, klik untuk memilih Memerlukan penandatanganan dalam daftar buka-bawah, kemudian klik OK.
  11. Klik Ya di kotak dialog Konfirmasi Perubahan Setelan.


Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
823659 Inkompatibilitas klien, layanan, dan program yang mungkin terjadi bila Anda mengubah setelan keamanan dan penetapan hak pengguna

Menggunakan Kunci Registri

Untuk meminta kami mengubah kunci registri, buka bagian "Perbaiki untuk saya". Jika Anda lebih suka mengubah sendiri kunci registri, buka bagian "Biarkan saya memperbaiki sendiri".

Perbaiki untuk saya



Untuk memperbaiki masalah ini secara otomatis, klik tombol atau tautan Fix it. Klik Jalankan di kotak dialog Unduh Berkas, kemudian ikuti langkah-langkah di wisaya Fix it.


Perbaiki masalah ini
Microsoft Fix it 50518


Catatan
  • Wisaya ini mungkin hanya tersedia dalam bahasa Inggris. Namun, perbaikan otomatis juga dapat berfungsi untuk Windows versi bahasa lainnya.
  • Jika Anda tidak menggunakan komputer yang mengalami masalah, simpan solusi Fix it ke kandar flash atau CD kemudian jalankan di komputer yang mengalami masalah.

Kemudian, buka bagian "Apakah ini memperbaiki masalah?".



Biarkan saya memperbaiki sendiri

Penting Bagian, metode, atau tugas ini berisi langkah-langkah yang memberitahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi kesalahan. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
  1. Klik Mulai, klik Jalankan, ketik regedit, kemudian klik OK.
  2. Temukan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Klik kanan entri registri LDAPServerIntegrity, kemudian klik Modifikasi.
  4. Ubah Nilai data ke 2, kemudian klik OK.
  5. Temukan kemudian klik subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Klik kanan entri registri ldapclientintegrity, kemudian klik Modifikasi.
  7. Ubah Nilai data ke 2, kemudian klik OK.

Untuk Active Directory Lightweight Directory Services (AD LDS), kunci registri tidak tersedia secara bawaan. Oleh karena itu, Anda harus membuat entri registri LDAPServerIntegrity dengan jenis REG_DWORD pada subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
CatatanInstanceName adalah nama dari entri AD LDS Anda yang akan dirubah.
Verifikasi Perubahan Konfigurasi
  1. Klik Mulai, klik Jalankan, ketik ldp.exe, kemudian klik OK.
  2. Pada menu Sambungan, klik Sambungkan.
  3. Ketik nama server dan port non-SSL/TLS dari server direktori Anda di bidang Server dan di bidang Port, kemudian pilih OK.
    Catatan Untuk Pengontrol Domain Direktori Aktif (ADDC), port yang berlaku adalah 389.
  4. Setelah sambungan didapatkan, pilih Ikat pada menu Sambungan.
  5. Pada Jenis pengikatan, pilih Pengikatan sederhana.
  6. Ketik nama pengguna dan sandi, kemudian klik OK.

Anda telah berhasil mengonfigurasi server direktori jika Anda menerima pesan galat berikut ini:
Ldap_simple_bind_s() failed: Strong Authentication Required

Apakah ini memperbaiki masalah?

  • Periksa apakah masalah telah diperbaiki. Jika masalah sudah diperbaiki, Anda selesai dengan bagian ini. Jika masalah belum teratasi, Anda dapat menghubungi dukungan.
  • Kami menghargai umpan balik Anda. Untuk memberikan masukan atau melaporkan masalah apa pun dengan solusi ini, berikan komentar di blog "Perbaiki untuk saya" atau kirim email kepada kami.

PELEPASAN TANGGUNG JAWAB


MICROSOFT DAN/ATAU PEMASOKNYA YANG TERKAIT TIDAK MEMBERIKAN REKOMENDASI APA PUN TENTANG KESESUAIAN INFORMASI YANG TERKANDUNG DALAM DOKUMEN INI DAN GAMBAR YANG TERKAIT YANG DITERBITKAN DI SITUS WEB INI UNTUK KEPERLUAN APA PUN. DOKUMEN DAN GAMBAR YANG TERKAIT YANG DITERBITKAN DI SITUS INI MUNGKIN MENGANDUNG KESALAHAN AKURASI ATAU GALAT TIPOGRAFIS. PERUBAHAN DITAMBAHKAN SECARA BERKALA PADA INFORMASI INI. MICROSOFT DAN/ATAU PEMASOKNYA YANG TERKAIT BERHAK MELAKUKAN PENINGKATAN DAN/ATAU PERUBAHAN SEWAKTU-WAKTU ATAS PRODUK DAN/ATAU PROGRAM YANG DIURAIKAN DI SINI.

Untuk informasi selengkapnya tentang persyaratan penggunaan, klik tautan di bawah ini:
http://support.microsoft.com/tou/?LN=id-id&x=5&y=17
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.

Properti

ID Artikel: 935834 - Kajian Terakhir: 12 Mei 2011 - Revisi: 2.0
Kata kunci: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com