如何在 Windows Server 2008 中 启用 LDAP 签名

文章编号: 935834 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
展开全部 | 关闭全部

本页

快速的发布

快速的发布文章提供的信息以响应新出现的或唯一的主题和新信息可用时,可能会更新。
回到顶端 | 提供反馈

简介

安全性 一 目录服务器可显著提高通过配置服务器以拒绝简单身份验证和安全层 (SASL) LDAP 绑定不请求签名 (完整性验证),或若要拒绝 LDAP 简单绑定,明文 (非-SSL/TLS 加密) 连接上执行。 SASLs 可能包括协议 (例如 Kerberos 协商、 NTLM 和摘要协议。

未经签名的网络通信是容易遭受重播攻击 在其中 入侵者截获的身份验证尝试和防火墙信息 票证。入侵者可以重用冒充合法用户的票证。 Addition助手未经签名的网络通信是容易受到拦截的攻击 在其中 入侵者可以捕获客户端和服务器之间的数据包,更改数据包,然后将它们转发到服务器。 如果此 发生在 LDAP 服务器,攻击者 可以 会导致服务器基于来自 LDAP 客户端的请求伪造的决策。

本文介绍如何配置您的目录服务器,以防止此类攻击。
回到顶端 | 提供反馈

更多信息

如何发现不使用的客户端 "Require 签名" 选项

客户端, 依赖于 (协商、 Kerberos、 NTLM、 或摘要) 的无符号 SASL LDAP 绑定或 ldap 简单绑定通过 SSL/TLS 连接 停止工作 在进行之后 此配置更改.若要帮助 标识 这些客户端目录服务器 日志s 汇总的事件 2887 一次,以指示多少此类绑定每隔 24 小时出现了。 我们建议您 配置第e不能使用此类绑定的 se 客户端。 之后 长一段时间观察到任何此类事件,我们建议您配置服务器以拒绝此类绑定。

如果您必须拥有更多的信息来识别此类客户端,则可以配置目录服务器,以提供更加详细的日志s.此附加的日志记录会记录事件 2889 当客户端尝试使未签名的 LDAP 绑定。日志记录 显示s " 在客户端和客户端试图标识的 IP 地址 使用 进行身份验证.您可以通过设置来启用此附加的日志记录 LDAP 接口事件 为诊断设置 2 (基本).有关如何更改诊断设置的详细信息,请访问以下 Microsoft 网站:
http://go.microsoft.com/?linkid=9645087
(http://go.microsoft.com/?linkid=9645087)
如果该目录服务器已配置为拒绝无符号的 SASL LDAP 绑定或通过 SSL/TLS 连接,LDAP 简单绑定目录服务器会记录摘要事件 2888 发生一次时,此类绑定尝试每隔 24 小时.

如何配置为需要 LDAP 服务器签名的目录

使用组策略

如何设置 LDAP 签名要求的服务器
  1. 单击 开始请单击 运行键入 mmc.exe然后单击 确定.
  2. 在上 文件 菜单上,单击 添加/删除管理单元.
  3. 在中 添加或删除管理单元 对话框中,单击 组策略管理编辑器然后单击 添加.
  4. 在中 选择组策略对象 对话框中,单击 浏览.
  5. 在中 浏览组策略对象 对话框中,单击 默认域策略 在下 域、 Ou 和链接的组策略对象 区域,然后单击 确定.
  6. 单击 完成.
  7. 单击 确定.
  8. 展开 默认域控制器策略展开 计算机配置展开 策略展开 Windows 设置展开 安全设置展开 本地策略然后单击 安全选项.
  9. 用鼠标右键单击 域控制器: LDAP 服务器签名要求然后单击 属性.
  10. 在中 域控制器: LDAP 服务器签名要求属性 对话框中,启用 定义该策略设置, 单击以选中 要求签名 在中 定义该策略设置 下拉列表,然后单击 确定.
  11. 在中 确认设置更改 对话框中,单击 .
如何设置客户端 LDAP 签名要求通过本地计算机策略
  1. 单击 开始请单击 运行键入 mmc.exe然后单击 确定.
  2. 在上 文件 菜单上,单击 添加/删除管理单元.
  3. 在中 添加或删除管理单元 对话框中,单击 组策略对象编辑器, 然后 单击 添加.
  4. 单击 完成.
  5. 单击 确定.
  6. 展开 本地计算机策略展开 计算机配置展开 策略展开 Windows 设置展开 安全设置展开 本地策略然后单击 安全选项.
  7. 用鼠标右键单击 网络安全: LDAP 客户端签名要求然后单击 属性.
  8. 在中 网络安全: LDAP 客户端签名要求属性 对话框中, 单击以选中 要求签名 在下拉列表中,然后单击 确定.
  9. 在中 确认设置更改 对话框中,单击 .
如何通过一个域组策略对象设置客户端 LDAP 签名要求
  1. 单击 开始请单击 运行键入 mmc.exe然后单击 确定.
  2. 在上 文件 菜单上,单击 添加/删除管理单元.
  3. 在中 添加或删除管理单元 对话框中,单击 组策略对象编辑器然后单击 添加.
  4. 单击 浏览然后选择 默认域策略 (或要为其启用客户端 LDAP 签名的组策略对象)。
  5. 单击 确定.
  6. 单击 完成.
  7. 单击 关闭.
  8. 单击 确定.
  9. 展开 默认域策略展开 计算机配置展开 Windows 设置展开 安全设置展开 本地策略然后单击 安全选项.
  10. 在中 网络安全: LDAP 客户端签名要求属性 对话框中,单击以选中 要求签名 在下拉列表中,然后单击 确定.
  11. 在中 确认设置更改 对话框中,单击 .
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823659
(http://support.microsoft.com/kb/823659/ )
客户端、 服务和程序修改安全设置和用户权限分配时可能出现的不兼容问题

如何使用注册表项

若要让我们为您更改注册表项,请转到"帮我修复"一节。如果您希望更改注册表项自己,请转到"我自己修复"一节。

帮我修复

若要自动修复此问题,请单击 修复此问题 按钮或链接,请单击 运行 在中 下载文件 对话框框中,然后再执行此修复程序中的步骤向导它。
修复此问题
Microsoft Fix it 50518
注释
  • 此向导可能仅为英文。但是,自动修复功能也适用于其他语言版本的 Windows。
  • 如果您没有使用有问题的计算机,将修复功能保存它到闪存驱动器或 CD 中,解决方案然后在出现此问题的计算机上运行它。
然后,转到"这是否会解决此问题?"一节。

我自己修复

重要此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756
(http://support.microsoft.com/kb/322756/ )
如何在 Windows XP 中备份和还原注册表
  1. 单击 开始请单击 运行键入 注册表编辑器然后单击 确定.
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. 用鼠标右键单击 LDAPServerIntegrity 注册表项,然后单击 修改.
  4. 更改 数值数据2然后单击 确定.
  5. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. 用鼠标右键单击 ldapclientintegrity 注册表项,然后单击 修改.
  7. 更改 数值数据2然后单击 确定.
默认情况下,Active Directory 轻型目录服务 (AD LDS) 中,为该注册表项不可用。 因此, y必须在创建 ou 一 LDAPServerIntegrity 注册表 项 REG_DWORD 类型的 在下 下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
注意占位符<InstanceName>表示名称的 AD LDS 实例的 </InstanceName>您想要更改.

如何验证配置更改

  1. 单击 开始请单击 运行键入 ldp.exe然后单击 确定.
  2. 在下 连接 菜单上,单击 连接.
  3. 在中 服务器 字段并在 端口 字段,键入服务器的名称和您的目录服务器的 SSL/TLS 端口,然后单击 确定.

    注意    的 活动目录(AD) 域控制器,可用的端口为 389。
  4. 建立连接后,请选择 绑定 在上 连接 菜单。
  5. 在下 绑定类型选择 简单绑定.
  6. 键入用户名和密码,然后单击 确定.
如果您收到下面的错误消息,您成功地配置了您的目录服务器:
Ldap_simple_bind_s() 失败: 要求强身份验证

这是否会解决此问题?

  • 检查问题是否得到解决。如果问题得到解决,表示您完成了这一节。如果不修复该问题,则可以 与支持部门联系
    (http://support.microsoft.com/contactus)
    .
  • 非常感谢您的反馈意见。若要提供反馈意见或报告使用这一解决方案的任何问题,在发表评论"帮我修复
    (http://blogs.technet.com/fixit4me/)
    "网络日志,或向我们发送 电子邮件
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
回到顶端 | 提供反馈

免责声明

微软和/或其相应的供应商的文档中进行内容所包含的信息的适用性和相关的图表发布此 WEB 站点上为任何目的。技术不准确之处或打字错误,可能包括的文档和在该网站上发布的相关的图形。更改将定期添加到此处的信息。微软和/或其相应的供应商可能进行的改进和/或修改 (S) 的产品和/或程序 (S) 此处所述的任何时候。

有关使用条件的详细信息,请访问以下 Microsoft 网站:
http://support.microsoft.com/tou/
(http://support.microsoft.com/tou/)
回到顶端 | 提供反馈

属性

文章编号: 935834 - 最后修改: 2013年6月7日 - 修订: 2.0
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 935834
(http://support.microsoft.com/kb/935834/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端