Windows Server 2008'de imzalama LDAP etkinleştirme

Makale çevirileri Makale çevirileri
Makale numarası: 935834 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

HIZLI YAYIMLAMA

HIZLI YAYINLAMA MAKALELERİ BİLGİ SAĞLAR GELİŞMEKTE OLAN YANIT VEYA BENZERSİZ KONULAR VE YENİ BİLGİLER KULLANILABİLİR DURUMA GELDİĞİNDE GÜNCELLEŞTİRİLEBİLİR.

GİRİŞ

Güvenliği bir Dizin sunucusu Basit kimlik doğrulaması ve güvenlik katmanı (SASL) reddetmek için sunucu yapılandırma tarafından önemli ölçüde geliştirilebilir LDAP reddetmek için basit, bağlar veya LDAP bağı (bütünlüğünü doğrulama) imzalanmasını değil, düz metin (SSL/TLS-şifreli olmayan) bağlantı üzerinde gerçekleştirilir. Anlaşma, Kerberos, NTLM protokolleri ve Özet iletişim kuralları SASLs içerebilir.

İmzalanmamış ağ trafiği yeniden yürütme saldırılarına açıktır içinde kimlik doğrulama girişimi ve sorn aşarak karşılarance bir bilet. Saldırgan, meşru kullanıcı kimliğine bürünmek için bilet yeniden kullanabilirsiniz. Additionally, imzalanmamış ağ trafiği man-in--middle saldırılara maruz kalabilir içinde bir saldırgan istemci ile sunucu arasındaki paketleri yakalar, paketleri değiştirir ve sonra bunları sunucuya iletir. Bu, bir saldırganın bir LDAP sunucusunda gerçekleşir. CAN Sahte LDAP istemci isteği dayalı kararlar vermesine neden.

Bu makalede, bu tür saldırılardan korumak için dizin sunucusunun nasıl yapılandırılacağı açıklanır.

Daha fazla bilgi

Nasıl değil kullanan istemciler keşfedin "Require imzalama" seçenek

İstemciler, imzalanmamış SASL üzerinde (anlaşma, Kerberos, NTLM veya Özet) kullanan LDAP bağlar veya SSL/TLS olmayan bağlantı üzerinden LDAP basit bağlar çalışmıyor yaptıktan sonra Bu yapılandırma değişikliği. Yardımcı olmak için belirle Bu istemciler, dizin sunucusu Günlüks Özet olay 2887 24 kaç bağlar belirtmek için saatte bir kez oluştu. Öneririz, TH yapılandırmakeBu tür bağlamalar kullanmamayı se istemcileri. Sonra Böyle bir olay, uzun bir süre için uyulması gereken, bu tür bağlamalar reddetmek için sunucu yapılandırmanızı öneririz.

Bu tür istemciler tanımlamak için daha fazla bilgi gerekiyorsa, daha ayrıntılı günlük sağlamak için dizin sunucusunu yapılandırabilirsiniz.s. Bu ek günlük bir olayı günlüğe kaydeder 2889 ne zaman bir istemci imzalanmamış bir LDAP bağlaması gerçekleştirmeye çalışır. Günlüğe kaydetme görüntülemes , İstemci ve istemcinin denediniz kimliğini IP adresi için kullanın kimlik doğrulaması. Bu ek ayarlayarak etkinleştirebilirsiniz LDAP arabirimi olayları Tanı ayarlama 2 (Temel). Tanı ayarlarını değiştirme hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesine gidin:
http://go.microsoft.com/?linkid=9645087
Dizin sunucusu yapılandırılmışsa, imzalanmamış SASL LDAP reddetmek için bağlar veya SSL/TLS olmayan bağlantı üzerinden LDAP basit bağlar, dizin sunucusunun Özet bir olayı günlüğe kaydeder 2888 ne zaman gibi girişimleri bağlamak her 24 saatte bir kez ortaya.

LDAP sunucu imzalama gerektirecek şekilde dizinini yapılandırma

Grup İlkesi'ni kullanma

LDAP imzalama gereksinimini sunucu ayarlama
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü MMC.exeve sonra tıklatın TAMAM.
  2. Üzerinde Dosya menüsünde'ı tıklatın Ekleme/eklentisini kaldırma.
  3. İçinde Ek bileşenler Ekle Kaldır iletişim kutusunda'ı tıklatın Grup İlkesi Yönetimi Düzenleyicisive sonra tıklatın Ekle.
  4. İçinde Grup İlke Nesnesi Seç iletişim kutusunda'ı tıklatın Gözat.
  5. İçinde Bir Grup İlkesi nesnesine Gözat iletişim kutusunda'ı tıklatın Varsayılan etki alanı ilkesi altında Etki alanları, OU'lar ve bağlı Grup İlke nesneleri alan ve'ı tıklatın TAMAM.
  6. ' I tıklatın Son.
  7. ' I tıklatın TAMAM.
  8. Genişlet Varsayılan etki alanı denetleyicisi ilkesi, genişletme Bilgisayar Yapılandırması, genişletme İlkeleri, genişletme Windows ayarları, genişletme Güvenlik ayarları, genişletme Yerel ilkelerve sonra tıklatın Güvenlik Seçenekleri.
  9. Sağ tıklatma Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimlerive sonra tıklatın Özellikler.
  10. İçinde Etki alanı denetleyicisi: LDAP sunucu imzalama gereksinimleri özellikleri iletişim kutusunda, etkinleştirmek Bu ilke ayarını tanımla, seçmek için tıklatın İmzalama gerekiyor içinde Bu ilke ayarını tanımla ' ı tıklatın ve aşağı açılan liste TAMAM.
  11. İçinde Ayar Değişikliğini Onayla iletişim kutusunda'ı tıklatın Evet.
İstemci LDAP imzalama gereksinimini üzerinden yerel bilgisayar ilkesi ayarlama
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü MMC.exeve sonra tıklatın TAMAM.
  2. Üzerinde Dosya menüsünde'ı tıklatın Ekleme/eklentisini kaldırma.
  3. İçinde Ek bileşenler Ekle Kaldır iletişim kutusunda'ı tıklatın Grup İlkesi Nesne Düzenleyicisi, ve sonra ' ı tıklatın Ekle.
  4. ' I tıklatın Son.
  5. ' I tıklatın TAMAM.
  6. Genişlet Yerel Bilgisayar İlkesi, genişletme Bilgisayar Yapılandırması, genişletme İlkeleri, genişletme Windows ayarları, genişletme Güvenlik ayarları, genişletme Yerel ilkelerve sonra tıklatın Güvenlik Seçenekleri.
  7. Sağ tıklatma Ağ güvenliği: LDAP istemci imzalama gereksinimlerive sonra tıklatın Özellikler.
  8. İçinde Ağ güvenliği: LDAP istemci imzalama gereksinimleri özellikleri iletişim kutusu seçmek için tıklatın İmzalama gerekiyor aşağı açılan liste ve'ı tıklatın TAMAM.
  9. İçinde Ayar Değişikliğini Onayla iletişim kutusunda'ı tıklatın Evet.
İstemci bir etki alanı Grup İlke nesnesi LDAP imzalama gereksinimini ayarlama
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü MMC.exeve sonra tıklatın TAMAM.
  2. Üzerinde Dosya menüsünde'ı tıklatın Ekleme/eklentisini kaldırma.
  3. İçinde Ek bileşenler Ekle Kaldır iletişim kutusunda'ı tıklatın Grup İlkesi Nesne Düzenleyicisive sonra tıklatın Ekle.
  4. ' I tıklatın Gözatve sonra seçin Varsayılan etki alanı ilkesi (veya, istemci LDAP imzalamayı etkinleştirmek istediğiniz Grup İlkesi nesnesi).
  5. ' I tıklatın TAMAM.
  6. ' I tıklatın Son.
  7. ' I tıklatın Kapat.
  8. ' I tıklatın TAMAM.
  9. Genişlet Varsayılan etki alanı ilkesi, genişletme Bilgisayar Yapılandırması, genişletme Windows ayarları, genişletme Güvenlik ayarları, genişletme Yerel ilkelerve sonra tıklatın Güvenlik Seçenekleri.
  10. İçinde Ağ güvenliği: LDAP istemci imzalama gereksinimleri özellikleri iletişim kutusunda, seçmek için tıklatın İmzalama gerekiyor aşağı açılan liste ve'ı tıklatın TAMAM.
  11. İçinde Ayar Değişikliğini Onayla iletişim kutusunda'ı tıklatın Evet.
Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
823659İstemci, hizmet ve program uyumsuzlukları güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğinizde oluşabilecek

Kayıt defteri anahtarları nasıl kullanılır?

Bize sizin için kayıt defteri anahtarları değiştirmek için git "Benim adıma düzelt" bölümüne gidin. Değiştirmek isterseniz kendiniz için kayıt defteri anahtarları "Kendim düzeltmek istiyorum" bölümüne gidin.

Benim adıma düzelt

Bu sorunu otomatik olarak düzeltmek için tıklatın Bu sorunu düzelt düğme veya bağlantı,'ı tıklatın Çalıştır içinde Dosya karşıdan yükleme iletişim kutusunu tıklatın ve ardından düzeltme adımları sihirbazındaki.
Bu sorunu düzelt
Microsoft Fix it 50518
Notlar
  • Bu sihirbaz yalnızca İngilizce olabilir. Ancak, otomatik düzeltme, Windows'un diğer dil sürümleri için de kullanılabilir.
  • Düzeltmeyi sorunun yaşandığı bilgisayarda kullanmıyorsanız, kaydetmek, bir flash sürücüye veya CD'ye, çözüm ve sonra sorunun yaşandığı bilgisayarda çalıştırın.
Daha sonra git "Bu işlem sorunu düzeltti mi?" bölümüne gidin.

Kendim düzeltmek istiyorum

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak, kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Daha fazla koruma için değiştirmeden önce kayıt defterini yedekleyin. Daha sonra bir sorun çıktığında kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Yedekleme ve Windows kayıt defterini geri yükleme hakkında
  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü Regeditve sonra tıklatın TAMAM.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Sağ tıklatın LDAPServerIntegrity kayıt defteri girdisini ve sonra Değiştir.
  4. Değiştir Değer verisi için 2ve sonra tıklatın TAMAM.
  5. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Sağ tıklatın ldapclientintegrity kayıt defteri girdisini ve sonra Değiştir.
  7. Değiştir Değer verisi için 2ve sonra tıklatın TAMAM.
Varsayılan olarak, Active Directory Basit Dizin Hizmetleri (AD LDS) için kayıt defteri anahtarı kullanılamaz. Bu nedenle, yKuruluş birimi oluşturmanız gerekir bir LDAPServerIntegrity kayıt defteri Giriş REG_DWORD türü altında Aşağıdaki kayıt defteri alt anahtarı:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Not Yer tutucu <InstanceName>AD LDS adını gösterir, örnek<b00> </b00> </InstanceName>değiştirmek istediğiniz.

Yapılandırma değişikliklerini doğrulama

  1. ' I tıklatın Başlat,'ı tıklatın Çalıştır, türü Ldp.exeve sonra tıklatın TAMAM.
  2. Altında Bağlantı menüsünde'ı tıklatın Bağlan.
  3. İçinde Sunucu alan ve Bağlantı noktası alan, sunucu adını ve dizin sunucunuzun SSL/TLS olmayan bağlantı noktasını yazın ve sonra'ı tıklatın TAMAM.

    Not
    için bir Active Directory etki alanı denetleyicisi, uygun bağlantı noktası 389 olur.
  4. Bağlantı kurulduktan sonra Seç Bağlama üzerinde Bağlantı menü.
  5. Altında Türü bağlamak, Seç Basit bağlama.
  6. Kullanıcı adınızı ve parolanızı yazın ve sonra tıklatın TAMAM.
Aşağıdaki hata iletisini alırsanız, dizin sunucusu başarıyla yapılandırıldı:
Ldap_simple_bind_s() başarısız oldu: güçlü kimlik doğrulama gerekli

Bu işlem sorunu düzeltti mi?

  • Sorunun giderilmiş olup olmadığını denetleyin. Sorun düzeltilmişse, bu bölümle işiniz bitti demektir. Sorun düzeltilmemişse, şunları yapabilirsiniz Destek hizmetlerine başvurma.
  • Görüşleriniz bizim için önemlidir. Görüşünüzü veya bu çözümle ilgili sorunları bildirmek için üzerinde yorum "Benim adıma düzelt"blog, veya bize gönderin bir e-posta iletisi.

VAZGEÇME BELGESİ

MICROSOFT VE/VEYA İLGİLİ TEDARİKÇİLERİ BİLGİLER KONUSUNDA HİÇBİR AÇIKLAMADA BULUNMAZ BELGELERDE YAPIN VE İLGİLİ GRAFİKLER HERHANGİ BİR AMAÇ İÇİN BU WEB SİTESİNDE YAYIMLANAN. BELGELERİ VE İLGİLİ GRAFİKLER BU WEB SİTESİNDE YAYIMLANAN TEKNİK YANLIŞLIKLAR VEYA YAZIM HATALARI İÇEREBİLİR. DEĞİŞİKLİKLERİ DÜZENLİ OLARAK BURADA BİLGİLER EKLENİR. MICROSOFT VE/VEYA İLGİLİ TEDARİKÇİLERİ GELİŞTİRMELERİ VE/VEYA DEĞİŞİKLİKLER ÜRÜN (S)'DE YAPABİLİR VE/VEYA (S) PROGRAMI HERHANGİ BİR ZAMANDA BURADA AÇIKLANAN.

Kullanım koşulları hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesine gidin:
http://support.microsoft.com/tou/

Özellikler

Makale numarası: 935834 - Last Review: 7 Haziran 2013 Cuma - Gözden geçirme: 2.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Anahtar Kelimeler: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 935834

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com