기술 자료: 935834 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

신속한 게시

신속한 게시 기사 정보를 제공 할에서 또는 고유 항목 및 새로운 정보가 나오는 대로 업데이트 될 수 있습니다.

소개

보안을 는 디렉터리 서버가 단순 인증 및 보안 레이어 (SASL) 거부 하도록 서버를 구성 하 여 크게 향상 될 수 있습니다. LDAP 바인딩하는 서명 (무결성 확인)를 요청 하지 않은 또는 LDAP 거부 하도록 단순 바인딩 일반 텍스트 (비-SSL/TLS 암호화) 연결에서 수행 됩니다. SASLs 프로토콜 등 협상, Kerberos, NTLM, 다이제스트 프로토콜 포함 됩니다.

서명 되지 않은 네트워크 트래픽은 재생 공격에 취약입니다. 에 침입자가 인증 시도가 및 문제를 차단ance 티켓의. 침입자가 합법적인 사용자를 가장할 수 있는 티켓을 다시 사용할 수 있습니다. Addition동맹서명 되지 않은 네트워크 트래픽은 끼어 들기 공격을 받기는 에 침입자가 클라이언트와 서버 간의 패킷을, 패킷, 바뀌고 서버로 전달. 이 경우 공격자는 LDAP 서버에서 발생합니다. 수 있습니다 서버에서 LDAP 클라이언트의 위조 된 요청을 기반으로 하는 결정을 내릴 수 발생 합니다.

이 문서에서는 이러한 공격 으로부터 보호 하도록 디렉터리 서버를 구성 하는 방법을 설명 합니다.

추가 정보

사용 하지 않는 클라이언트를 검색 하는 방법 "Require 서명 " 옵션

클라이언트는 서명 되지 않은 SASL (협상, Kerberos, NTLM 또는 다이제스트)을 사용 LDAP 바인딩 또는 비-SSL/TLS 연결을 통해 LDAP 단순 바인딩 작업 중지 변경 후 이 구성 변경. 데 도움이 되는 식별 이러한 클라이언트디렉터리 서버 로그s 이벤트를 요약 2887 한 번에 얼마나 많은 이러한 바인딩 나타내려면 24 시간 발생 했습니다. 것이 좋습니다 경우 th 구성ese 클라이언트가 이러한 바인딩을 사용 하지 않도록 합니다. 후 이러한 이벤트가 확장된 된 기간 동안 관찰 되는, 이러한 바인딩 거부 하도록 서버를 구성 하는 것이 좋습니다.

이러한 클라이언트를 식별 하는 자세한 정보가 필요한 경우 자세한 로그를 제공 하는 디렉터리 서버를 구성할 수 있습니다.s. 이 추가 로깅 이벤트를 기록 합니다. 2889 때 클라이언트는 부호 없는 LDAP 바인드를 확인 하려고 합니다. 로깅 디스플레이s 는 IP 주소를 클라이언트와 클라이언트를 하려고 하는 id 사용 하 여 인증. 설정 하 여이 추가 로깅을 사용할 수 있는 LDAP 인터페이스 이벤트 진단 설정 2 (기본). 진단 설정을 변경 하는 방법에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.
http://go.microsoft.com/?linkid=9645087
디렉터리 서버가 구성 된 경우 서명 되지 않은 SASL LDAP 거부 하도록 바인딩 또는 비-SSL/TLS 연결을 통해 LDAP 단순 바인딩디렉터리 서버 요약 이벤트를 기록 합니다 2888 같은 시도 바인딩할 때 24 시간 마다 한 번 발생.

LDAP 서버 서명 필요 디렉터리 구성 하는 방법

그룹 정책을 사용 하 여

서버가 LDAP 서명 요구 사항 설정 방법
  1. 클릭 시작를 클릭 실행형식 mmc.exe를 클릭 하 고 다음을 클릭 확인.
  2. 파일 메뉴를 클릭 추가/스냅인 제거.
  3. 추가 / 스냅인 제거 대화 상자에서 클릭 그룹 정책 관리 편집기를 클릭 하 고 다음을 클릭 추가.
  4. 그룹 정책 개체 선택 대화 상자에서 클릭 찾아보기.
  5. 그룹 정책 개체 찾아보기 대화 상자에서 클릭 기본 도메인 정책 아래는 도메인, Ou 및 연결 된 그룹 정책 개체 영역을 클릭 하 고 확인.
  6. 클릭 마침.
  7. 클릭 확인.
  8. 확장 기본 도메인 컨트롤러 정책확장 컴퓨터 구성확장 정책확장 Windows 설정확장 보안 설정확장 로컬 정책를 클릭 하 고 다음을 클릭 보안 옵션.
  9. 마우스 오른쪽 단추로 클릭 도메인 컨트롤러: LDAP 서버 서명 필요를 클릭 하 고 다음을 클릭 속성.
  10. 도메인 컨트롤러: LDAP 서버 서명 요구 사항을 속성 대화 상자를 사용 이 정책 설정 정의, 선택 합니다. 서명 필요이 정책 설정 정의 다음을 클릭 하 고 드롭다운 목록에서 확인.
  11. 설정 변경 확인 대화 상자에서 클릭 .
클라이언트 LDAP 서명 요구 사항을 로컬 컴퓨터 정책을 통해 설정 하는 방법
  1. 클릭 시작를 클릭 실행형식 mmc.exe를 클릭 하 고 다음을 클릭 확인.
  2. 파일 메뉴를 클릭 추가/스냅인 제거.
  3. 추가 / 스냅인 제거 대화 상자에서 클릭 그룹 정책 개체 편집기, 다음 클릭 추가.
  4. 클릭 마침.
  5. 클릭 확인.
  6. 확장 로컬 컴퓨터 정책확장 컴퓨터 구성확장 정책확장 Windows 설정확장 보안 설정확장 로컬 정책를 클릭 하 고 다음을 클릭 보안 옵션.
  7. 마우스 오른쪽 단추로 클릭 네트워크 보안: LDAP 클라이언트 서명 필요를 클릭 하 고 다음을 클릭 속성.
  8. 네트워크 보안: LDAP 클라이언트 서명 필요 속성 대화 상자에서 선택 합니다. 서명 필요 여 드롭다운 목록에서 클릭 한 다음에 확인.
  9. 설정 변경 확인 대화 상자에서 클릭 .
도메인 그룹 정책 개체를 통해 LDAP 서명 요구 사항 클라이언트를 설정 하는 방법
  1. 클릭 시작를 클릭 실행형식 mmc.exe를 클릭 하 고 다음을 클릭 확인.
  2. 파일 메뉴를 클릭 추가/스냅인 제거.
  3. 추가 / 스냅인 제거 대화 상자에서 클릭 그룹 정책 개체 편집기를 클릭 하 고 다음을 클릭 추가.
  4. 클릭 찾아보기를 클릭 하 고 다음을 선택 기본 도메인 정책 (또는 클라이언트 LDAP 서명을 활성화 하려면 그룹 정책 개체).
  5. 클릭 확인.
  6. 클릭 마침.
  7. 클릭 닫기.
  8. 클릭 확인.
  9. 확장 기본 도메인 정책확장 컴퓨터 구성확장 Windows 설정확장 보안 설정확장 로컬 정책를 클릭 하 고 다음을 클릭 보안 옵션.
  10. 네트워크 보안: LDAP 클라이언트 서명 필요 속성 대화 상자에서 선택 하려면 클릭 하십시오 서명 필요 여 드롭다운 목록에서 클릭 한 다음에 확인.
  11. 설정 변경 확인 대화 상자에서 클릭 .
자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.
823659클라이언트, 서비스 및 사용자 권한 할당 보안 설정을 수정할 때 발생할 수 있는 프로그램 비 호환성

레지스트리 키를 사용 하는 방법

우리는 레지스트리 키를 변경 하려면 이동은 "해결 지원"섹션입니다. 변경 하려면 원하는 경우 직접 이동 하 여 레지스트리 키를 "내가 직접 해결"섹션입니다.

해결 지원

자동으로이 문제를 해결 하려면 클릭 하 여 문제 해결 단추 또는 링크를 클릭합니다 실행파일 다운로드 대화 상자 및 다음 수정 단계 마법사.
이 문제를 해결합니다.
Microsoft Fix it 50518
노트
  • 이 마법사는 영어로만 제공 될 수 있습니다. 그러나, 자동 수정은 또한 다른 언어 버전의 Windows 에서도 작동합니다.
  • 현재 문제가 있는 컴퓨터를 사용 하지 않는 경우 수정 저장이 솔루션을 플래시 드라이브 또는 CD에 다음 문제가 있는 컴퓨터에서 실행 합니다.
그런 다음 이동은 "이 문제가 해결 되었습니까?"섹션입니다.

내가 직접 해결

중요 이 섹션, 메서드 또는 작업은 레지스트리를 수정하는 방법을 설명 하는 단계를 포함합니다. 그러나 레지스트리를 잘못 수정하면, 심각한 문제가 발생할 수 있습니다. 따라서, 다음 단계를 주의 깊게 수행해야 합니다. 이 수정 하기 전에 추가 보호를 위해 레지스트리를 백업합니다. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 백업 및 레지스트리를 복원 하는 방법에 대한 자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭하십시오.
322756 Windows에서 레지스트리를 백업하고 복원하는 방법
  1. 클릭 시작를 클릭 실행형식 regedit를 클릭 하 고 다음을 클릭 확인.
  2. 위치를 찾은 다음 레지스트리 하위 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. 마우스 오른쪽 단추로 클릭 하면 LDAPServerIntegrity 레지스트리 항목을 클릭 하 고 수정.
  4. 변경 값 데이터2를 클릭 하 고 다음을 클릭 확인.
  5. 위치를 찾은 다음 레지스트리 하위 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. 마우스 오른쪽 단추로 클릭 하면 ldapclientintegrity 레지스트리 항목을 클릭 하 고 수정.
  7. 변경 된 값 데이터2를 클릭 하 고 다음을 클릭 확인.
기본적으로 현재 디렉터리 가벼운 디렉터리 서비스 (AD LDS)에 대 한 레지스트리 키 불가능합니다. 따라서 you를 만들어야 합니다. 는 LDAPServerIntegrity 레지스트리 항목 REG_DWORD 형식의 아래에서 다음 레지스트리 하위 키:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
참고 자리 표시자 <InstanceName>AD LDS의 이름을 나타내는 인스턴스는<b00> </b00> </InstanceName>변경 하려는.

구성 변경 내용을 확인 하는 방법

  1. 클릭 시작를 클릭 실행형식 ldp.exe를 클릭 하 고 다음을 클릭 확인.
  2. 아래는 연결 메뉴를 클릭 연결.
  3. 서버 필드 및 해당 포트 필드, 비-SSL/TLS 포트 디렉터리 서버의 서버 이름을 입력 하 고을 클릭합니다 확인.

    참고
    에 Active Directory 도메인 컨트롤러를 해당 포트는 389입니다.
  4. 연결이 설정 되 면 선택 바인딩연결 메뉴입니다.
  5. 아래에서 바인딩 형식선택 단순 바인딩.
  6. 사용자 이름 및 암호를 입력 하 고을 클릭합니다 확인.
성공적으로 다음과 같은 오류 메시지가 나타나면 디렉터리 서버를 구성:
Ldap_simple_bind_s()에 실패 했습니다: 강력한 인증이 필요

이 문제가 해결 되었습니까?

  • 문제가 해결 되었는지 확인 하십시오. 문제가 해결 되지 않으면이 섹션을 완료 됩니다. 문제가 해결 되지 않은 경우에 지원 서비스에 문의.
  • 우리는 여러분의 의견을 부탁드립니다. 에 의견을 남겨 의견을 보내거나이 솔루션과 문제 보고서는 "해결 지원"블로그, 나 보내 여 전자 메일 메시지.

책임의 한계

MICROSOFT 및/또는 그 각 공급자 문서에 포함 된 정보의 적합성에 대 한 표시를 확인 하 고 관련된 그래픽을 모든 용도에이 웹 사이트에 게시 합니다. 문서 및이 웹 사이트에 게시 된 관련된 그래픽은 기술적 부정확성 이나 입력 오류를 포함할 수 있습니다. 변경 정보를 여기를 정기적으로 추가 됩니다. MICROSOFT 및/또는 그 각 공급자 개선 및/또는 제품의 (S) 만들 수 있습니다 및/또는 프로그램 (S)에서 언제 든 지 여기에 설명 된

사용 약관에 대 한 자세한 내용은 다음 Microsoft 웹 사이트로 이동 하십시오.
http://support.microsoft.com/tou/

속성

기술 자료: 935834 - 마지막 검토: 2013년 6월 7일 금요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
키워드:?
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:935834

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com