Windows Server 2008 での署名の LDAP を有効にする方法

文書翻訳 文書翻訳
文書番号: 935834 - 対象製品
すべて展開する | すべて折りたたむ

目次

迅速な公開

迅速な発行記事情報の提供を新たなまたは一意のトピックと新しい情報が利用可能になった更新される可能性があります。

はじめに

セキュリティ は、 ディレクトリ サーバーが大幅に簡易認証およびセキュリティ層 (SASL) を拒否するようにサーバーを構成することによって改善することができます。 LDAP バインド (整合性検証) の署名を要求しない、または LDAP を拒否する簡単は、バインドがクリア テキスト (非-SSL/TLS で暗号化された) 接続で実行されます。 SASLs は、プロトコル、Negotiate、Kerberos、NTLM、ダイジェストのプロトコルが含まれます。

署名されていないネットワーク トラフィックは再現による攻撃を受けやすいです。 で 認証しようとし、ファイヤウォール ファイアウォール、侵入者を傍受しました。ance チケット。侵入者は正規のユーザーを偽装するのには、チケットを再利用できます。 Addition同盟国、署名されていないネットワークのトラフィックが中間で攻撃を受けやすい で 侵入者、クライアントとサーバーの間でパケットをキャプチャ、パケットを変更後、サーバーに転送します。 この場合は LDAP サーバー上の攻撃者が発生します。 ことができます。 LDAP クライアントからの要求の偽造に基づく意思決定を行うには、サーバーが発生します。

この資料は、このような攻撃から保護するために、ディレクトリ サーバーを構成する方法について説明します。

詳細

使用していないクライアントを検出する方法 [ファイルを開く]Require の署名" オプション

クライアントは、 Negotiate、Kerberos、NTLM、(ダイジェスト) の署名されていない SASL を使用して LDAP バインドまたは LDAP の単純な非 SSL/TLS 接続経由でのバインド 動作を停止します。 行った後で、 この構成の変更.ヘルプするのには 識別します。 これらのクライアントは、ディレクトリ ・ サーバ ログs 要約イベント 2887 1 回 24 時間そのような結合の数を示すためが発生しました。 お勧めで 番目を構成します。ese クライアントを使用してこのようなバインドを使用しないようにします。 後 長期にわたってこのようなイベントが確認できるなし、このようなバインドを拒否するようにサーバーを構成することをお勧めします。

このようなクライアントを特定する方法の詳細がある必要な場合より詳細なログを提供するディレクトリ サーバーを構成することができます。s.この追加のログにイベントを記録します。 2889 場合、クライアントは符号なしの LDAP バインドを確認しようとします。[ログの記録 ディスプレイs を クライアントの id をしようとしたクライアントの IP アドレス 使用してください。 認証.設定するとこの追加のログ記録を有効にすることができます、 LDAP インターフェイス イベント 診断を設定するのには 2 (基本).診断の設定を変更する方法の詳細については、次のマイクロソフト web サイトを参照してください。
http://go.microsoft.com/?linkid=9645087
ディレクトリ サーバーが構成されている場合は、拒否の署名されていない SASL LDAP バインドまたは LDAP の単純な SSL/TLS 以外の接続をバインドは、ディレクトリ サーバーでは、ログの要約イベント 2888 回のバインド時などは 24 時間ごとの 1 回の実行します。.

LDAP サーバー署名必須ディレクトリを構成する方法

グループ ポリシーを使用してください。

サーバーが LDAP 署名要件を設定する方法
  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] mmc.exeプロパティ ].
  2. で、 ファイル メニューをクリックして スナップインの追加と削除.
  3. で、 追加またはスナップインの削除 ダイアログ ボックスをクリックして グループ ポリシー管理エディタープロパティ 追加.
  4. で、 [グループ ポリシー オブジェクト ダイアログ ボックスをクリックして 参照.
  5. で、 [グループ ポリシー オブジェクトの参照 ダイアログ ボックスをクリックして 既定のドメイン ポリシー で、 ドメイン、Ou、およびリンクされたグループ ポリシー オブジェクト 入力領域で、し、 ].
  6. クリックしてください。 終了日します。.
  7. クリックしてください。 ].
  8. 展開 既定のドメイン コント ローラーのポリシーを展開 [コンピューターの構成を展開 ポリシーを展開 Windows の設定を展開 セキュリティの設定を展開 ローカル ポリシープロパティ セキュリティ オプション.
  9. Usbehci.sys ドメイン コント ローラー: LDAP サーバーが署名の要件プロパティ プロパティ.
  10. で、 ドメイン コント ローラー: LDAP サーバーが署名の要件のプロパティ ダイアログ ボックスを有効にします。 このポリシー設定を定義します。, オンにします 署名を必要とします。 続いて このポリシー設定を定義します。 ドロップ ダウン リストとクリック ].
  11. で、 設定変更を確認します。 ダイアログ ボックスをクリックして [はい].
クライアントが LDAP 署名要件をローカル コンピューター ポリシーを設定する方法
  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] mmc.exeプロパティ ].
  2. で、 ファイル メニューをクリックして スナップインの追加と削除.
  3. で、 追加またはスナップインの削除 ダイアログ ボックスをクリックして グループ ポリシー オブジェクト エディター, し、 クリックしてください。 追加.
  4. クリックしてください。 終了日します。.
  5. クリックしてください。 ].
  6. 展開 ローカル コンピューターのポリシーを展開 [コンピューターの構成を展開 ポリシーを展開 Windows の設定を展開 セキュリティの設定を展開 ローカル ポリシープロパティ セキュリティ オプション.
  7. Usbehci.sys ネットワーク セキュリティ: 必須の署名している LDAP クライアントプロパティ プロパティ.
  8. で、 ネットワーク セキュリティ: 必須のプロパティの署名している LDAP クライアント ダイアログ ボックス オンにします 署名を必要とします。 ドロップ ダウン リストとクリックで ].
  9. で、 設定変更を確認します。 ダイアログ ボックスをクリックして [はい].
LDAP 署名要件をドメインのグループ ポリシー オブジェクトをクライアントを設定する方法
  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] mmc.exeプロパティ ].
  2. で、 ファイル メニューをクリックして スナップインの追加と削除.
  3. で、 追加またはスナップインの削除 ダイアログ ボックスをクリックして グループ ポリシー オブジェクト エディタープロパティ 追加.
  4. クリックしてください。 参照、し、選択 既定のドメイン ポリシー (クライアントが LDAP 署名を有効にするグループ ポリシー オブジェクト)。
  5. クリックしてください。 ].
  6. クリックしてください。 終了日します。.
  7. クリックしてください。 閉じる.
  8. クリックしてください。 ].
  9. 展開 既定のドメイン ポリシーを展開 [コンピューターの構成を展開 Windows の設定を展開 セキュリティの設定を展開 ローカル ポリシープロパティ セキュリティ オプション.
  10. で、 ネットワーク セキュリティ: 必須のプロパティの署名している LDAP クライアント ダイアログ ボックスをオンにします 署名を必要とします。 ドロップ ダウン リストとクリックで ].
  11. で、 設定変更を確認します。 ダイアログ ボックスをクリックして [はい].
詳細については、以下の記事番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
823659セキュリティ設定およびユーザー権利の割り当てを変更した際に発生する可能性があるクライアント、サービス、およびプログラムの非互換性について

レジストリ キーを使用する方法

私たちのレジストリ キーを変更するのに移動、"Fix it で解決する"セクションに移動します。レジストリを変更する場合は手動で移動するにはキーを」自分で解決する"セクションに移動します。

Fix it で解決する

この問題を自動的に修正するのをクリックして、 [ ボタンまたはリンクは Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない 続いて [ ダイアログ ボックスは、手順この修正プログラムをウィザード。
この問題を解決する
Microsoft Fix it 50518
注:
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターを使用しない場合は、この修正プログラムを保存、ソリューションをフラッシュ ドライブまたは CD にし、問題のあるコンピューターで実行します。
このため、Exchange Server 2010 SP1 にパブリック フォルダーがインストールされている場合、空き時間情報取得のリクエストは、Exchange RPC Client Access サービスにより妨害されます。問題が解決されたかどうかの確認"セクションに移動します。

自分で解決する

重要このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、この手順を慎重に実行するようにしてください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合でもレジストリを復元できます。レジストリをバックアップおよび復元する方法の詳細については、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] regeditプロパティ ].
  2. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. 右クリックし、 LDAPServerIntegrity レジストリ エントリをクリック 変更.
  4. 変更 [値のデータ するには 2プロパティ ].
  5. 次のレジストリ サブキーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. 右クリックし、 ldapclientintegrity レジストリ エントリをクリック 変更.
  7. 変更します。 [値のデータ するには 2プロパティ ].
既定では、Active Directory ライトウェイト ディレクトリ サービス (AD LDS) のレジストリ キーがないです。 そのため、 you を作成する必要があります。 は、 LDAPServerIntegrity レジストリ エントリ REG_DWORD の種類 下 次のレジストリ サブキー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
メモ プレース ホルダー <InstanceName>AD LDS のインスタンス化は、<b00> </b00> </InstanceName>変更します。.

構成の変更を確認する方法

  1. クリックしてください。 スタート[ Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない] ldp.exeプロパティ ].
  2. で、 接続 メニューをクリックして 接続.
  3. で、 サーバー フィールドとは ポート フィールドで、サーバー名とディレクトリ ・ サーバの SSL/TLS ポートを入力しをクリックしてください ].

    を Active Directory ドメイン コント ローラー、ポートが 389。
  4. 接続が確立されると、選択します。 バインド で、 接続 メニューです。
  5. バインドの種類を選択 単純なバインド.
  6. ユーザー名とパスワードを入力しをクリックしてください ].
次のエラー メッセージが表示される場合は、ディレクトリ サーバーが正しく構成します。
Ldap_simple_bind_s() に失敗しました: 強力な認証が必要です

問題が解決されたかどうかの確認

  • 問題が解決したかどうか確認します。問題が解決した場合、このセクションで作業完了となります。問題が解決されていない場合は、 サポートに問い合わせる.
  • 私たちはお客様からのフィードバックを歓迎します。フィードバックを提供する、またはこのソリューションで発生する問題を報告するのには、コメントを残す、"Fix it で解決する"のブログ、またはごに 電子メール メッセージ.

免責事項

マイクロソフトおよびその各供給者含まれている情報の適合性についての表示内のドキュメントにはありませんおよび関連グラフィックスこの WEB サイト上以外の目的で発行されました。ドキュメントおよび関連グラフィックスのこの WEB サイトで公開されて技術的な誤りや誤植を含めることができます。変更は、記載されている情報に定期的に追加されます。マイクロソフトおよびその各供給者改善または変更 (S) の製品になるし、プログラム (S) はいつでもここで説明します。

使用条件の詳細については、次のマイクロソフト web サイトを参照してください。
http://support.microsoft.com/tou/

プロパティ

文書番号: 935834 - 最終更新日: 2013年6月7日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
キーワード:?
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:935834
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com