LDAP imzalamayı Windows Server 2008'de etkinleştirme hakkında

Makale numarası: 935834 - Bu makalenin geçerli olduğu ürünleri görün.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Hepsini aç | Hepsini kapa

Bu Sayfada

HIZLI YAYIN


HIZLI YAYIN EMERGING BİLGİLERİ DE YANIT MAKALELERİ SAĞLAR VEYA BENZERSİZ KONULARI VE YENİ BİLGİLER KULLANILABİLİR OLDUĞUNDA GÜNCELLEŞTİRİLEBİLİR.
Üste | Geri Bildirim Ver

Giriş

GüvenlikCdizin sunucusu oldukça basit kimlik doğrulaması ve güvenlik katmanı (SASL) reddetmek için sunucu yapılandırma yoluyla geliştirilebilirLDAP imzalama (bütünlük doğrulama) ve düz metin (SSL/TLS-şifreli olmayan) bir bağlantı üzerinden yapılan LDAP Basit bağlamalar isteyen bağlar.SASLs anlaşma, Kerberos, NTLM veya Özet gibi protokoller olabilir.

İmzalanmamış ağ trafiği yeniden yürütme saldırılarına maruziçindebir saldırgan, kimlik doğrulama girişimi ve issu durdururancebir anahtar. Saldırgan, yasal kullanıcının kimliğine bürünmek için anahtar yeniden kullanabilirsiniz.Cdditionally, imzalanmamış ağ trafiği man-in--middle saldırılara açıkiçindebir saldırgan istemci ile sunucu arasındaki paketleri yakalar, paketleri değiştirir ve sonra bunları sunucuya iletir.Bu,bir saldırganın bir LDAP sunucusunda gerçekleşir.olabilirsunucunun LDAP istemcisinden gelen sahte istekleri dayalı kararlar vermesine neden.

Bu makalede, bu tür saldırılardan korumak için dizin sunucusunun nasıl yapılandırılacağı açıklanır.
Üste | Geri Bildirim Ver

Daha fazla bilgi

Discovering clients that do not usetheRequire signingoption


Clients thatrely on unsigned SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds or LDAP simple binds over a non-SSL/TLS connectionstop workingafter you makethis configuration change. To helpidentifythese clients, the directory serverlogsa summary event2887one time every 24 hours to indicate how many such binds occurred.We recommend that youconfigure these clients not to use such binds.Afterno such events are observed for an extended period, we recommend that you configure the server to reject such binds.

If more detailed information is required to identify such clients, the directory server can be configured to provide more detailed logs. This additional logging will log an event2889when a client attempts an unsigned LDAP bind. The loggingdisplaystheİstemci ve istemci çalıştığınız kimliği IP adresiiçinkimlik doğrulaması. Bu ek günlük ayarlayarak etkinleştirilebilir.LDAP Arabirimi olaylarıTanılama ayarı 2 (Basic). Tanı ayarlarını değiştirme hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://go.Microsoft.com/?linkid=9645087
(http://go.microsoft.com/?linkid=9645087)


Dizin sunucusu yapılandırılmışsa, imzalanmamış SASL LDAP reddetmek için bağlar veya LDAP basit bir SSL/TLS olmayan bağlantı üzerinden bağlanır., dizin sunucusu, Özet bir olayı günlüğe kaydeder2888bir anda her 24hours, bu tür Bağlama girişimi olduğunda.

Directory, LDAP sunucusu imzalama gerektirecek şekilde yapılandırma

Grup İlkesi'ni kullanma

Sunucuyu LDAP imzalama gereksinimini ayarlama
  1. ' I tıklatınSTART ::,'ı tıklatınÇalışmaTYPE :Mmc.exe[NULL]'iTamam..
  2. Üzerindedosyasını arayınmenüsünde tıklatınEkleme bileşeni Kaldır.
  3. İçindeEkle / Kaldır ek bileşeniletişim kutusunu tıklatınGrup İlkesi Yönetimi Düzenleyicisi,'ı tıklatınadd:.
  4. İçindeSeçme Grup İlkesi nesnesiiletişim kutusunu tıklatınGöz atma.
  5. İçindeBir Grup İlkesi nesnesi için göz atıniletişim kutusunu tıklatınVarsayılan etki alanı ilkesialtındaEtki alanları, OU'lar ve bağlı Grup İlkesi nesnelerialanı tıklatın ve sonraTamam..
  6. ' I tıklatınBitiş.
  7. ' I tıklatınTamam..
  8. GenişletmeVarsayılan etki alanı denetleyicisi ilkesi, genişletmeBilgisayar Yapılandırması, genişletmeİlkeleri, genişletmeWindows Ayarları, genişletmeGüvenlik Ayarları, genişletmeYerel İlkeler[NULL]'iGüvenlik seçenekleri.
  9. Sağ tıklatmaEtki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri[NULL]'iözellikleri..
  10. İçindeEtki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri özellikleriiletişim kutusunu etkinleştirmekBu ilke ayarını tanımla,seçmek için tıklatınİmzalama gerekiyor:içindeBu ilke ayarını tanımlaaçılan ve sonraTamam..
  11. ' I tıklatınEVETiçindeAyar Değişikliğini Onaylalistesinde aşağı taşımak.
İstemci LDAP imzalama gereksinimini ayarlama
  1. ' I tıklatınSTART ::,'ı tıklatınÇalışmaTYPE :Mmc.exe[NULL]'iTamam..
  2. Üzerindedosyasını arayınmenüsünde tıklatınEkleme bileşeni Kaldır.
  3. İçindeEkle / Kaldır ek bileşeniletişim kutusunu tıklatınGrup İlkesi Nesne Düzenleyicisi,ve sonra' ı tıklatınadd:.
  4. ' I tıklatınBitiş.
  5. ' I tıklatınTamam..
  6. GenişletmeYerel Bilgisayar İlkesi, genişletmeBilgisayar Yapılandırması, genişletmeİlkeleri, genişletmeWindows Ayarları, genişletmeGüvenlik Ayarları, genişletmeYerel İlkeler[NULL]'iGüvenlik seçenekleri.
  7. Sağ tıklatmaAğ güvenliği: LDAP istemci imzalama gereksinimleri[NULL]'iözellikleri..
  8. İçindeAğ güvenliği: LDAP istemci imzalama gereksinimleri özelliklerilistesinde aşağı taşımakseçmek için tıklatınİmzalama gerekiyor:aşağı açılan listesini ve ardındanTamam..
  9. ' I tıklatınEVETiçindeAyar Değişikliğini Onaylalistesinde aşağı taşımak.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın::
823659
(http://support.microsoft.com/kb/823659/ )
Güvenlik ayarları ve kullanıcı hakları atamalarını değiştirdiğinizde oluşabilecek istemci, hizmet ve program uyumsuzlukları (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Kayıt defteri anahtarlarını kullanma

Bize, kayıt defteri anahtarları değiştirmek için git "Benim adıma düzelt"bölümü. Değiştirmek isterseniz kendiniz gidin kayıt defteri anahtarları "Kendim düzeltmek istiyorum"bölümü.

Benim adıma düzelt



Otomatik olarak bu sorunu gidermek için tıklatınDüzeltindüğme veya bağlantı. ' I tıklatınÇalışmaiçindeDosya yüklemeiletişim kutusunu tıklatın ve düzeltme adımlarını izleyin, sihirbazını.


Bu sorunu düzelt
Microsoft Fix it 50518


NOTLAR
  • Bu sihirbaz yalnızca İngilizce olabilir.. Ancak otomatik düzeltme, Windows'un diğer dil sürümleri için de çalışmaktadır..
  • Sorun olan bir bilgisayar kullanıyorsanız, düzeltme kaydetmek, bir flash sürücü veya CD çözüm ve sorun olan bilgisayarda çalıştırın.

Sonra gidin "Bu işlem sorunu düzeltti mi??"bölümü.



Kendim düzeltmek istiyorum

Önemli:Bu bölüm, yöntem veya görev kayıt defterini değiştirme hakkında bilgi adımları içerir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir.. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun.. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın.. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz.. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın::
322756
(http://support.microsoft.com/kb/322756/ )
Windows'da kayıt defterini yedekleme ve geri yükleme
  1. ' I tıklatınSTART ::,'ı tıklatınÇalışmaTYPE :regedit[NULL]'iTamam..
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın.:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  3. Sağ tıklatınLDAPServerIntegritykayıt defteri girdisini ve sonramodify.
  4. DeğiştirDeğer VerisiKime:2[NULL]'iTamam..
  5. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın.:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Sağ tıklatınLDAPClientIntegritykayıt defteri girdisini ve sonramodify.
  7. DeğiştirmeDeğer VerisiKime:2[NULL]'iTamam..

Active Directory Basit Dizin Hizmetleri (AD LDS), kayıt defteri anahtarı varsayılan olarak kullanılabilir değil.Bu nedenle,yOU oluşturmanız gerekirCLDAPServerIntegrity kayıt defteriGirdi:REG_DWORD türüaltındaAşağıdaki kayıt defteri alt anahtarı:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
NOT:INSTANCENAMEAD LDS örneğinizi adıdeğiştirmek istediğiniz.
Yapılandırma değişiklikleri doğrulayın
  1. ' I tıklatınSTART ::,'ı tıklatınÇalışmaTYPE :Ldp.exe[NULL]'iTamam..
  2. AltındaBağlantımenüsünde tıklatınBağlan.
  3. Sunucu adını ve dizin sunucunuzun SSL/TLS olmayan bağlantı noktası türüSunucualan veBağlantı Noktasıalan ve seçinTamam..
    NOT:Bir Active Directory etki alanı denetleyicisi için uygun bağlantı noktası 389 ' dir.
  4. Bağlantı kurulduktan sonra seçin.BağlamaaltındaBağlantıMenü.
  5. AltındaBağlama türüSELECTBasit bağlama.
  6. Kullanıcı adı ve parolanızı yazın ve ardındanTamam..

Aşağıdaki hata iletisini alırsanız, dizin sunucusu başarıyla yapılandırdınız:
Ldap_simple_bind_s() başarısız oldu: güçlü kimlik doğrulaması gerekli

Bu işlem sorunu düzeltti mi??

  • Sorunun giderilip giderilmediğini denetleyin.. Sorun düzeltilmişse bu bölümle işiniz bitti demektir.. Sorun çözülmezse, yapabileceklerinizdestek ekibine başvurma
    (http://support.microsoft.com/contactus)
    .
  • Görüşleriniz bizim için önemlidir.. Görüş veya rapor bu çözüm ile ilgili sorunlar için lütfen bir yorum üzerinde bırakın "Benim adıma düzelt
    (http://blogs.technet.com/fixit4me/)
    "blog veya bize bire-posta:
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
Üste | Geri Bildirim Ver

Sorumluluğun Kaldırılması:


MICROSOFT VE/VEYA BİLGİLERİN UYGUNLUĞU HAKKINDA İLGİLİ TEDARİKÇİLERİ OLUŞTUR NO TEMSİLİ BELGELERİ VE İLGİLİ GRAFİKLER HERHANGİ BİR AMAÇ İÇİN BU WEB SİTESİNDE YAYIMLANAN DE İÇERİYOR. BU WEB SİTESİNDE YAYIMLANAN İLGİLİ GRAFİK VE BELGELERİ, TEKNİK YANLIŞLIKLAR VEYA YAZIM HATALARI İÇEREBİLİR. DEĞİŞİKLİKLERİ, BURADAKİ BİLGİLERİ DÜZENLİ OLARAK EKLENİR. MICROSOFT VE/VEYA İLGİLİ TEDARİKÇİLERİ GELİŞTİRMELERİ VE/VEYA DEĞİŞİKLİKLER ÜRÜNÜN (S) YAPABİLİR VE/VEYA HERHANGİ BİR ANDA BURADA AÇIKLANAN PROGRAM (S).

Kullanım koşullarını hakkında daha fazla bilgi için aşağıdaki bağlantıyı tıklatın:
http://support.Microsoft.com/tou/
(http://support.microsoft.com/tou/)
Üste | Geri Bildirim Ver

Özellikler

Makale numarası: 935834 - Son Gözden Geçirme: 14 Aralık 2010 Salı - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Anahtar Kelimeler: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMttr
Otomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:935834
(http://support.microsoft.com/kb/935834/en-us/ )
Üste | Geri Bildirim Ver

Geri Bildirim Ver

 
ÜsteÜste