Como habilitar LDAP entrar no Windows Server 2008

Traduções deste artigo Traduções deste artigo
ID do artigo: 935834 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

PUBLICAÇÃO RÁPIDA

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES EM RESPOSTA A EMERGENTES OU TÓPICOS EXCLUSIVOS E PODE SER ATUALIZADA ASSIM QUE NOVAS INFORMAÇÕES ESTIVEREM DISPONÍVEIS.

INTRODUÇÃO

A segurança de um servidor de diretório pode ser melhorado significativamente, configurando o servidor para rejeitar simples de autenticação e segurança camada SASL) Ligações LDAP que não solicitam assinatura (verificação de integridade) ou para rejeitar LDAP vincula simples que são executadas em uma conexão de texto não criptografado (não-SSL/TLS criptografado). SASLs pode incluir protocolos como Negotiate, Kerberos, NTLM e Digest.

O tráfego de rede não assinada é suscetível a ataques de repetição no qual um invasor intercepta a tentativa de autenticação e os problemasance de uma permissão. O invasor pode reutilizar a permissão para representar o usuário legítimo. Additionaliado, o tráfego de rede não assinada é suscetível a ataques de interceptação no qual um invasor captura pacotes entre o cliente e o servidor, altera os pacotes e, em seguida, encaminha-os para o servidor. Se este ocorre em um servidor LDAP, um invasor pode fazer com que um servidor tome decisões com base em forjado solicitações do cliente LDAP.

Este artigo descreve como configurar o servidor de diretório para protegê-lo contra esses ataques.

Mais Informações

Como descobrir os clientes que não usam o"Rassinatura de equire" opção

Os clientes que contar com sem assinatura SASL (Negotiate, Kerberos, NTLM ou Digest) LDAP vincula ou no LDAP simple é ligado através de uma conexão não-SSL/TLS parar de funcionar Depois de fazer Essa alteração de configuração. Para ajudar a identificar Esses clientes, o servidor de diretório logs um evento de resumo 2887 uma vez a cada 24 horas para indicar quantos essas ligações ocorreu. Recomendamos que você Configurar theSe os clientes para não usar essas ligações. Depois eventos desse tipo são observados por um longo período, é recomendável que você configure o servidor para rejeitar essas ligações.

Se você precisar de mais informações para identificar esses clientes, você pode configurar o servidor de diretório para fornecer um log mais detalhados. Este log adicional registrará um evento 2889 Quando um cliente tenta fazer uma ligação LDAP não assinada. O registro em log Exibirs o Endereço IP do cliente e a identidade que o cliente tentou Use para autenticar. Você pode habilitar esse registro adicional definindo a configuração de diagnóstico de Eventos de Interface LDAP para 2 (Basic). Para obter mais informações sobre como alterar as configurações de diagnóstico, consulte o seguinte site da Microsoft:
http://go.microsoft.com/?linkid=9645087
Se o servidor de diretório está configurado rejeitar sem assinatura LDAP SASL vincula ou vínculos simples do LDAP através de uma conexão não-SSL/TLS, o servidor de diretório registrará um evento de resumo 2888 uma vez a cada 24 horas quando tais tentativas de vínculo ocorrer.

Como configurar o diretório para exigir assinatura de servidor LDAP

Usando a diretiva de grupo

Como configurar o servidor de requisitos de assinatura LDAP
  1. Clique em Iniciar, Executar, tipo MMC.exee, em seguida, clique em OK.
  2. No menu arquivo , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de gerenciamento de diretiva de grupoe, em seguida, clique em Adicionar.
  4. Na caixa de diálogo Selecionar objeto de diretiva de grupo , clique em Procurar.
  5. Na caixa de diálogo Procurar um objeto de diretiva de grupo , clique em Diretiva de domínio padrão na área de domínios, OUs e objetos de diretiva de grupo vinculados e, em seguida, clique em OK.
  6. Clique em Concluir.
  7. Clique em OK.
  8. Expanda Default Domain Controller Policy, Configuração do computador, diretivas, Configurações do Windows, Configurações de segurança, Diretivas locaise, em seguida, clique em Opções de segurança.
  9. Clique com o botão controlador de domínio: requisitos de assinatura de servidor LDAPe, em seguida, clique em Propriedades.
  10. No o controlador de domínio: requisitos de propriedades de assinatura de servidor LDAP diálogo caixa, habilite definir essa configuração de diretiva, Clique para selecionar requer assinatura na lista suspensa definir essa configuração de diretiva e, em seguida, clique em OK.
  11. Na caixa de diálogo Confirmar alterações de configuração , clique em Sim.
Como configurar o cliente requisitos de assinatura LDAP por meio da diretiva de computador local
  1. Clique em Iniciar, Executar, tipo MMC.exee, em seguida, clique em OK.
  2. No menu arquivo , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de objeto de diretiva de grupo, e, em seguida Clique em Adicionar.
  4. Clique em Concluir.
  5. Clique em OK.
  6. Expanda Diretiva Computador Local, Configuração do computador, diretivas, Configurações do Windows, Configurações de segurança, Diretivas locaise, em seguida, clique em Opções de segurança.
  7. Clique com o botão segurança de rede: requisitos de assinatura de cliente LDAPe, em seguida, clique em Propriedades.
  8. No segurança de rede: requisitos de propriedades de assinatura de cliente LDAP caixa de diálogo Clique para selecionar requer assinatura na lista suspensa e, em seguida, clique em OK.
  9. Na caixa de diálogo Confirmar alterações de configuração , clique em Sim.
Como configurar o cliente requisitos de assinatura LDAP por meio de um objeto de diretiva de grupo do domínio
  1. Clique em Iniciar, clique em Executar, digite mmc.exee clique em OK.
  2. No menu arquivo , clique em Adicionar/Remover Snap-in.
  3. Na caixa de diálogo Adicionar ou Remover Snap-ins , clique em Editor de objeto de diretiva de grupoe, em seguida, clique em Adicionar.
  4. Clique em Procurare, em seguida, selecione diretiva de domínio padrão (ou o objeto de diretiva de grupo para o qual você deseja ativar a assinatura do cliente LDAP).
  5. Clique em OK.
  6. Clique em Concluir.
  7. Clique em Fechar.
  8. Clique em OK.
  9. Expanda Default Domain Policy, expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurança, expanda Diretivas locaise, em seguida, clique em Opções de segurança.
  10. No segurança de rede: requisitos de propriedades de assinatura de cliente LDAP caixa de diálogo, clique para selecionar requer assinatura na lista suspensa da lista e, em seguida, clique em OK.
  11. No Confirmar alteração da configuração diálogo caixa, clique em Sim.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
823659 Cliente, serviço e incompatibilidades de programa que podem ocorrer quando você modificar as configurações de segurança e atribuições de direitos do usuário

Como usar chaves do registro

Para que possamos alterar as chaves de registro para você, vá para a "Corrigir para mim"a seção. Se você preferir alterar as chaves do registro sozinho, vá para a "Deixe-me a corrigir sozinho"a seção.

Corrigir para mim

Para corrigir esse problema automaticamente, clique no botão corrigi-lo ou o link, clique em Executar na caixa de diálogo Download de arquivo e, em seguida, siga as etapas na correção-assistente.
Corrigir o problema
Microsoft Fix it 50518
Anotações
  • Este assistente pode estar apenas em inglês. No entanto, a correção automática também funciona para versões do Windows em outros idiomas.
  • Se você não estiver usando o computador que apresentou o problema, salve a correção-solução para uma unidade flash ou em um CD e execute-o no computador que apresentou o problema.
Em seguida, vá para a "Isso corrigiu o problema?"a seção.

Deixe-me a corrigir sozinho

Importante Nesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o Registro incorretamente. Portanto, certifique-se de que segue estes passos cuidadosamente. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
322756 Como fazer backup e restaurar o registro no Windows
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Clique na entrada de registro LDAPServerIntegrity e, em seguida, clique em Modificar.
  4. Alterar os dados do valor para 2e, em seguida, clique em OK.
  5. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Com o botão direito na entrada do registro ldapclientintegrity e, em seguida, clique em Modificar.
  7. Alterar os dados do valor para 2e, em seguida, clique em OK.
Por padrão, para o Active Directory Lightweight Directory Services (AD LDS), a chave do registro não está disponível. Portanto, yCrie ou um Registro LDAPServerIntegrity entrada do tipo REG_DWORD em a seguinte subchave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Observação O espaço reservado <InstanceName>representa o nome do AD LDS de instância que<b00> </b00> </InstanceName>você deseja alterar.

Como verificar as alterações de configuração

  1. Clique em Iniciar, Executar, tipo Ldp.exee, em seguida, clique em OK.
  2. No menu conexão , clique em Conectar.
  3. No campo servidor no campo porta , digite o nome do servidor e a porta não-SSL/TLS do seu servidor de diretório e, em seguida, clique em OK.

    Observação
    para um Active Directory controlador de domínio, a porta aplicável é 389.
  4. Depois que uma conexão é estabelecida, selecione ligação no menu conexão .
  5. Em tipo de ligação, selecione ligação simples.
  6. Digite o nome de usuário e senha e, em seguida, clique em OK.
Se você receber a seguinte mensagem de erro, você configurou com êxito o servidor de diretório:
Falha de Ldap_simple_bind_s(): autenticação forte necessária

Isso corrigiu o problema?

  • Verifique se o problema está corrigido. Se o problema tiver sido corrigido, você terá concluído esta seção. Se o problema não for corrigido, você poderá Contate o suporte.
  • Aguardamos seus comentários. Para fornecer comentários ou relatar quaisquer problemas com essa solução, deixe um comentário sobre o "Corrigir para mim"blog, ou envie-em um mensagem de email.

ISENÇÃO DE RESPONSABILIDADE

MICROSOFT E/OU SEUS RESPECTIVOS FORNECEDORES NÃO CERTIFICAM SOBRE A ADEQUAÇÃO DAS INFORMAÇÕES CONTIDAS NOS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE PARA QUALQUER FINALIDADE. OS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE PODEM INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS. ALTERAÇÕES SÃO ACRESCENTADAS PERIODICAMENTE ÀS INFORMAÇÕES AQUI CONTIDAS. MICROSOFT E/OU SEUS RESPECTIVOS FORNECEDORES PODEM FAZER APRIMORAMENTOS E/OU ALTERAÇÕES NO PRODUTO (S) E/OU PROGRAMA (S) AQUI DESCRITOS A QUALQUER MOMENTO.

Para obter mais informações sobre os termos de uso, vá para o seguinte site da Microsoft:
http://support.microsoft.com/tou/

Propriedades

ID do artigo: 935834 - Última revisão: domingo, 9 de fevereiro de 2014 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 935834

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com