วิธีการเปิดใช้งาน LDAP ที่เข้าสู่ระบบใน Windows Server 2008

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 935834 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

เผยแพร่เร็ว


เผยแพร่เร็วบทความให้ข้อมูลในการตอบสนองต่อ emerging หรือหัว ข้อที่ไม่ซ้ำกัน และอาจถูกปรับปรุง ตามข้อมูลใหม่พร้อมกัน

บทนำ

รักษาความปลอดภัยตัวปรับเซิร์ฟเวอร์ไดเรกทอรีสามารถมีมากปรุง ด้วยการกำหนดค่าเซิร์ฟเวอร์การปฏิเสธการรับรองความถูกต้องแบบธรรมดาและเลเยอร์ความปลอดภัย (SASL)binds ldap ไม่ขอ binds LDAP ง่าย ๆ ที่จะทำในการเชื่อมต่อ(เข้าไม่ใช่แบบ SSL/TLS-รหัส) ข้อความธรรมดา และการเซ็นชื่อ (ความถูกต้องตรวจสอบ)SASLs อาจรวมถึงโพรโทคอลเช่น Negotiate, Kerberos, NTLM หรือการแยกย่อย

การรับส่งข้อมูลเครือข่ายที่ไม่ได้ลงทะเบียนเป็นทรู replay โจมตีที่intercepts intruder มีความพยายามในการรับรองความถูกต้องและการ issuanceของบัตร intruder ที่สามารถนำมาใช้บัตรเพื่อ impersonate ผู้ใช้ที่ถูกต้องตามกฎหมายadditionallyการรับส่งข้อมูลเครือข่ายที่ไม่ได้ลงทะเบียนเป็นทรูการโจมตี man-ในในกลางที่intruder ที่จับการส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์ แพ็คเก็ตการเปลี่ยนแปลง และส่งต่อดังกล่าวไปยังเซิร์ฟเวอร์ถ้านี้เกิดขึ้นในการเซิร์ฟเวอร์ LDAP ผู้โจมตีสามารถทำให้เซิร์ฟเวอร์เพื่อทำการตัดสินใจที่เป็นไปตามการร้องขอ forged จากไคลเอ็นต์ LDAP

บทความนี้อธิบายวิธีการกำหนดค่าเซิร์ฟเวอร์ไดเรกทอรีของคุณเพื่อป้องกันการโจมตีเช่น

ข้อมูลเพิ่มเติม

discovering ไคลเอนต์ที่ไม่ได้ใช้กระบวนการrequire มีการเซ็นชื่อตัวเลือก


ไคลเอ็นต์ที่ใช้ที่ได้รับการรับรอง SASL (Negotiate, Kerberos, NTLM หรือการแยกย่อย) LDAP binds หรือ LDAP ง่าย ๆ binds ผ่านการเชื่อมต่อไม่-SSL/TLSหยุดการทำงานหลังจากที่คุณทำการเปลี่ยนแปลงการตั้งค่าคอนฟิกนี้. เมื่อต้องการช่วยเหลือระบุไคลเอ็นต์เหล่านี้เซิร์ฟเวอร์ไดเรกทอรีแฟ้มบันทึกsเหตุการณ์การสรุป2887หนึ่งครั้งทุก 24 ชั่วโมงเพื่อบ่งชี้ binds เช่นจำนวนเกิดขึ้นเราขอแนะนำที่คุณการตั้งค่าคอนฟิก thอีดูการไคลเอ็นต์ไม่ให้ใช้ binds เช่นหลังจากไม่มีเหตุการณ์เช่นกำลังตรวจสอบสำหรับรอบระยะเวลาขยายเพิ่มเติม เราขอแนะนำให้ คุณกำหนดค่าเซิร์ฟเวอร์การปฏิเสธ binds เช่น

ถ้าข้อมูลเพิ่มเติมจะต้องระบุเช่นไคลเอนต์ เซิร์ฟเวอร์ไดเรกทอรีที่คุณสามารถกำหนดค่าให้บันทึกรายละเอียดเพิ่มเติมs. บันทึกนี้เพิ่มเติมจะล็อกเหตุการณ์2889เมื่อไคลเอ็นต์พยายามผูก LDAP ที่ได้รับการรับรอง การเข้าสู่ระบบจอแสดงผลsกระบวนการที่อยู่ ip ของไคลเอ็นต์และรหัสประจำตัวที่ไคลเอ็นต์พยายามใช้เพื่อรับรองความถูกต้อง. บันทึกข้อมูลเพิ่มเติมนี้สามารถเปิดใช้งาน โดยการตั้งค่านี้เหตุการณ์การอินเทอร์เฟซของ ldapการตั้งค่าการวินิจฉัยการ 2 (พื้นฐาน) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปลี่ยนการตั้งค่าการวินิจฉัย แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://go.microsoft.com/?linkid=9645087

ถ้ามีการกำหนดค่าเซิร์ฟเวอร์ไดเรกทอรี การปฏิเสธ LDAP SASL ที่ได้รับการรับรอง binds หรือ LDAP ง่าย ๆ binds ผ่านการเชื่อมต่อไม่-SSL/TLSเซิร์ฟเวอร์ไดเรกทอรีจะล็อกเหตุการณ์การสรุป2888หนึ่งครั้งทุก ๆ 24hoursเมื่อเกิดขึ้นเช่นความพยายามในการผูก.

การกำหนดค่าไดเรกทอรีให้ใช้กระบวนการลงทะเบียนเซิร์ฟเวอร์ LDAP

การใช้'นโยบายกลุ่ม'

การตั้งค่าของความเซิร์ฟเวอร์ LDAP ลงต้องการ
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmc.exeแล้ว คลิกตกลง.
  2. ในการแฟ้ม:เมนู คลิกเพิ่ม/เอาออกสแนปอิน.
  3. ในการเพิ่ม หรือลบสแนปอินกล่องโต้ตอบ คลิกตัวแก้ไขการจัดการนโยบายกลุ่มคลิกadd.
  4. ในการวัตถุนโยบาย กลุ่มที่เลือกกล่องโต้ตอบ คลิกเรียกดู.
  5. ในการเรียกดูวัตถุนโยบายกลุ่มกล่องโต้ตอบ คลิกนโยบายโดเมนเริ่มต้นภายใต้การโดเมน ou และ วัตถุนโยบายกลุ่มถูกเชื่อมโยงพื้นที่ แล้วคลิกตกลง.
  6. คลิกเสร็จสิ้น.
  7. คลิกตกลง.
  8. ขยายนโยบายของตัวควบคุมโดเมนเริ่มต้นขยายการกำหนดค่าคอมพิวเตอร์ขยายนโยบายขยายการตั้งค่า windowsขยายการตั้งค่าการรักษาความปลอดภัยขยายนโยบายท้องถิ่นแล้ว คลิกตัวเลือกการรักษาความปลอดภัย.
  9. คลิกขวาตัวควบคุมโดเมน: เซิร์ฟเวอร์ LDAP ที่ความต้องการเซ็นชื่อแล้ว คลิกคุณสมบัติ.
  10. ในการตัวควบคุมโดเมน: เซิร์ฟเวอร์ LDAP ที่เซ็นชื่อข้อกำหนดของคุณสมบัติกล่องโต้ตอบ เปิดใช้งานกำหนดการตั้งค่านโยบายนี้,คลิกเพื่อเลือกจำเป็นต้องมีการเซ็นชื่อในการกำหนดการตั้งค่านโยบายนี้รายการหล่นลง แล้วคลิกตกลง.
  11. คลิกใช่ในการยืนยันการเปลี่ยนแปลงการตั้งค่ากล่องโต้ตอบ
การตั้งค่าของความไคลเอ็นต์ LDAP ลงต้องการ
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:mmc.exeแล้ว คลิกตกลง.
  2. ในการแฟ้ม:เมนู คลิกเพิ่ม/เอาออกสแนปอิน.
  3. ในการเพิ่ม หรือลบสแนปอินกล่องโต้ตอบ คลิกตัวแก้ไขวัตถุนโยบายกลุ่ม,แล้วคลิกadd.
  4. คลิกเสร็จสิ้น.
  5. คลิกตกลง.
  6. ขยายนโยบายคอมพิวเตอร์เฉพาะที่ขยายการกำหนดค่าคอมพิวเตอร์ขยายนโยบายขยายการตั้งค่า windowsขยายการตั้งค่าการรักษาความปลอดภัยขยายนโยบายท้องถิ่นแล้ว คลิกตัวเลือกการรักษาความปลอดภัย.
  7. คลิกขวาความปลอดภัยของเครือข่าย: ความต้องการรับรองไคลเอ็นต์ของ LDAPแล้ว คลิกคุณสมบัติ.
  8. ในการความปลอดภัยของเครือข่าย: ไคลเอ็นต์ LDAP ที่เซ็นชื่อข้อกำหนดของคุณสมบัติกล่องโต้ตอบคลิกเพื่อเลือกจำเป็นต้องมีการเซ็นชื่อในรายการหล่นลง แล้วคลิกตกลง.
  9. คลิกใช่ในการยืนยันการเปลี่ยนแปลงการตั้งค่ากล่องโต้ตอบ

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
823659ความเข้ากันไม่ได้ระหว่างไคลเอ็นต์ บริการและโปรแกรมที่อาจเกิดขึ้นได้เมื่อคุณปรับเปลี่ยนการตั้งค่าความปลอดภัยและการกำหนดสิทธิผู้ใช้

การใช้คีย์รีจิสทรี

เมื่อต้องการให้เราในการเปลี่ยนแปลงรีจิสตรีคีย์คุณ ไป "แก้ไขปัญหาให้กับฉัน"ส่วน ถ้าคุณต้องการเปลี่ยนแปลง รีจิสทรีคีย์ตัวคุณเอง ไป "ให้ฉันแก้ไขด้วยตนเอง"ส่วน

แก้ไขปัญหาให้กับฉัน



เมื่อต้องแก้ไขปัญหานี้โดยอัตโนมัติ คลิกการแก้ไขได้ปุ่มหรือการเชื่อมโยง คลิกเรียกใช้ในการดาวน์โหลดแฟ้มกล่องโต้ตอบกล่อง และทำตามขั้นตอนในการแก้ไขปัญหาดังกล่าว wizard


แก้ไขปัญหานี้
Microsoft Fix it 50518


หมายเหตุ
  • ตัวช่วยสร้างนี้อาจมีเฉพาะภาษาอังกฤษ แต่การแก้ไขปัญหาแบบอัตโนมัติจะทำงานใน Windows รุ่นที่ใช้ภาษาอื่นเช่นกัน
  • ถ้าคุณไม่ได้ใช้คอมพิวเตอร์ที่มีปัญหา บันทึกการแก้ไขปัญหาจะแก้ไขแฟลชไดรฟ์หรือซีดีแล้ว รันบนคอมพิวเตอร์ที่มีปัญหา

แล้ว ไป "สามารถแก้ไขปัญหาได้หรือไม่"ส่วน



ให้ฉันแก้ไขด้วยตนเอง

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regeditแล้ว คลิกตกลง.
  2. ค้นหาและคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้::
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. คลิกขวาLDAPServerIntegrityรายการรีจิสทรี แล้วคลิกปรับเปลี่ยน.
  4. เปลี่ยนแปลงข้อมูลค่า:เมื่อต้องการ2แล้ว คลิกตกลง.
  5. ค้นหาและคลิกที่คีย์ย่อยของรีจิสทรีต่อไปนี้::
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. คลิกขวาldapclientintegrityรายการรีจิสทรี แล้วคลิกปรับเปลี่ยน.
  7. การเปลี่ยนแปลงนั้นข้อมูลค่า:เมื่อต้องการ2แล้ว คลิกตกลง.

หาบ Active Directory Lightweight active Directory (AD LDS), คีย์รีจิสทรีจะไม่พร้อมใช้งาน โดยค่าเริ่มต้นดังนั้นyต้องสร้าง ouตัวรีจิสทรี LDAPServerIntegrityรายการ:ชนิด REG_DWORDภายใต้คีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
หมายเหตุ:InstanceNameคือชื่อของอินสแตนซ์ LDS AD ของคุณคุณต้องการเปลี่ยนแปลง.
ตรวจสอบการเปลี่ยนแปลงการตั้งค่าคอนฟิก
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:Ldp.exeแล้ว คลิกตกลง.
  2. ภายใต้การเชื่อมต่อเมนู คลิกเชื่อมต่อ.
  3. พิมพ์ชื่อเซิร์ฟเวอร์และพอร์ตที่ไม่-SSL/TLS ของเซิร์ฟเวอร์ไดเรกทอรีของคุณในการเซิร์ฟเวอร์:ฟิลด์และพอร์ตฟิลด์ และจากนั้นเลือกตกลง.
    หมายเหตุ:สำหรับตัวใน Active Directory ควบคุมโดเมน พอร์ตที่เกี่ยวข้องคือ 389
  4. หลังจากการสร้างการเชื่อมต่อแบบ เลือกผูกภายใต้การเชื่อมต่อเมนู
  5. ภายใต้ชนิดของผูกเลือกการผูกแบบง่าย.
  6. พิมพ์ชื่อผู้ใช้และรหัสผ่าน และคลิกตกลง.

คุณได้กำหนดเรียบร้อยแล้วค่าเซิร์ฟเวอร์ไดเรกทอรีของคุณถ้าคุณได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
Ldap_simple_bind_s() ล้มเหลว: รับรองความถูกต้องอย่างแน่นหนาที่จำเป็น

สามารถแก้ไขปัญหาได้หรือไม่

  • ตรวจสอบว่าปัญหาได้รับการแก้ไขแล้วหรือไม่ ถ้าปัญหาได้รับการแก้ไขแล้ว คุณสามารถสิ้นสุดส่วนนี้ได้ หากปัญหาไม่ได้รับการแก้ไข คุณสามารถติดต่อฝ่ายสนับสนุน.
  • เรายินดีรับข้อเสนอแนะของคุณ เมื่อต้อง การให้ผลตอบสนอง หรือ เพื่อรายงานปัญหาใด ๆ ด้วยการแก้ไขปัญหานี้ กรุณาทิ้งข้อคิดเห็น "แก้ไขปัญหาให้กับฉัน"บล็อก หรือส่งเรามีอีเมล.

ปฏิเสธ


microsoft และ/หรือแทนที่ไม่ทำให้ซัพพลายเออร์ที่เกี่ยวข้องเกี่ยวกับ suitability ของข้อมูลที่มีอยู่ในเอกสารและรูปภาพที่เกี่ยวข้องประกาศบนเว็บไซต์นี้สำหรับวัตถุประสงค์ใด เอกสารและกราฟิกที่เกี่ยวข้องที่เผยแพร่บนเว็บไซต์นี้อาจรวมทางเทคนิค inaccuracies หรือข้อผิดพลาด typographical การเปลี่ยนแปลงจะเพิ่มข้อมูลนี้เป็นระยะ ๆ ตรวจสอบและ/หรือซัพพลายเออร์ที่เกี่ยวข้องของ microsoft อาจให้ปรับปรุงและ/หรือการเปลี่ยนแปลงในผลิตภัณฑ์ (s) และ/หรืออธิบายนี้ตลอดเวลา (s) โปรแกรมได้

สำหรับข้อมูลเพิ่มเติมในเงื่อนไขการใช้ คลิบนการเชื่อมโยงด้านล่าง:
http://support.microsoft.com/tou/

คุณสมบัติ

หมายเลขบทความ (Article ID): 935834 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 5.0
ใช้กับ
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Keywords: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:935834

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com