Teď jste offline a čekáte, až se znova připojí internet.

Povolení v systému Windows Server 2008 podepisování LDAP

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 935834

RYCHLÉ PUBLIKOVÁNÍ

RYCHLÉ PUBLIKOVÁNÍ ČLÁNKY POSKYTUJÍ INFORMACE V REAKCI NA NOVĚ VZNIKAJÍCÍCH NEBO JEDINEČNÝCH TÉMAT A MŮŽE BÝT AKTUALIZOVÁNO JAKO NOVÉ INFORMACE K DISPOZICI.
ÚVOD
Zabezpečení na Adresářový server může být významně zlepšeno tím, že nakonfigurujete server odmítnout Simple ověřování a Security Layer (SASL) Vazeb LDAP, který nebude vyžadovat podepisování (ověření integrity) nebo odmítnout LDAP jednoduché váže, které jsou prováděny na prostý text (SSL/TLS-nešifrované) připojení. SASLs může obsahovat protokoly, jako například záhlaví Negotiate Kerberos, NTLM a protokoly ověřování algoritmem Digest.

Nepodepsaný síťový provoz je zranitelný k útokům opakováním ve kterém zachycuje neoprávněný pokus o ověření a potížeance lístku. Neoprávněným uživatelem lze znovu použít lístek vydávat za legitimní uživatel. AdditionAlly, Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle ve kterém narušitel pakety mezi klientem a serverem, pakety mění a pak je posílá na server. Pokud tento dochází na serveru LDAP, útočník můžete způsobit, že server pro rozhodování, které jsou založeny na falešný požadavků klienta LDAP.

Tento článek popisuje, jak nakonfigurovat server directory chránit tyto útoky.
Další informace

Způsob zjištění klientů, kteří nepoužívají na"Require podpisu" možnost

Klienti, spoléhat na nepodepsané SASL (vyjednat, Kerberos, NTLM nebo ověřování algoritmem Digest) vytvoří vazbu protokolu LDAP nebo v protokolu LDAP přes připojení než SSL/TLS váže přestat fungovat Po provedení Tato změna konfigurace. Chcete-li pomoci identifikovat Tito klienti, pomocí adresářového serveru protokols Souhrn událostí 2887 jednou za 24 hodin, chcete-li určit, kolik takové vazby došlo k chybě. Doporučujeme, aby jste Konfigurovat theKlienti se nepoužívat tyto vazby. Po žádné takové události jsou pozorovány po delší dobu, doporučujeme nakonfigurovat server odmítnout takové vazby.

Pokud potřebujete další informace k identifikaci těchto klientů, můžete nakonfigurovat adresářového serveru poskytnout podrobnější protokols. Další protokolování bude protokolovat událost . 2889 Když klient se pokouší nepodepsané vazba serveru LDAP. Protokolování zobrazenís na Adresa IP klienta a identitu, kterou se klient pokusil pomocí ověřit. Další protokolování můžete povolit nastavením diagnostické nastavení LDAP rozhraní události 2 (Basic). Další informace o tom, jak změnit nastavení diagnostiky přejděte na následující web společnosti Microsoft:Adresářový server je nakonfigurován odmítnout nepodepsaných SASL LDAP vytvoří vazbu nebo vazba protokolu LDAP přes připojení než SSL/TLS, server adresáře bude protokolovat Souhrn událostí 2888 jednou za 24 hodin, kdy takové pokusy navázat dojít.

Konfigurace adresáře tak, aby vyžadovat podpisy LDAP server

Pomocí Zásady skupiny

Jak nastavit server požadavek na podepisování LDAP
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ MMC.exea potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V dialogovém okně Přidat nebo odebrat moduly Snap inEditoru správy Zásady skupinyklepněte na tlačítko a potom klepněte na tlačítko Přidat.
  4. V dialogovém okně Výběr objektu Zásady skupiny klepněte na tlačítko Procházet.
  5. V dialogovém okně Vyhledat objekt Zásady skupiny klepněte v oblasti domény, organizační jednotky a propojené objekty Zásady skupinyVýchozí zásady domény a potom klepněte na tlačítko OK.
  6. Klepněte na tlačítko Dokončit.
  7. Klepněte na tlačítko OK
  8. Rozbalte položku Výchozí zásady řadiče domény, rozbalte položku Konfigurace počítače, rozbalte položku zásady, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom na položku Možnosti zabezpečení.
  9. Klepněte pravým tlačítkem myši řadič domény: Požadavky podepisování serveru LDAPa potom klepněte na příkaz Vlastnosti.
  10. V řadič domény: vlastnosti Požadavky podepisování serveru LDAP dialogové okno pole, povolte Definovat toto nastavení zásad, Zaškrtněte políčko Požadovat podpis v rozevíracím seznamu Definovat toto nastavení zásad a poté klepněte na tlačítko OK.
  11. V dialogovém okně Potvrdit nastavení změnit klepněte na tlačítko Ano.
Jak nastavit klient požadavek na podepisování LDAP prostřednictvím zásad místního počítače
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ MMC.exea potom klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V dialogovém okně Přidat nebo odebrat moduly Snap in klepněte na Modul snap-in Editor objektů Zásady skupinya pak Klepněte na tlačítko Přidat.
  4. Klepněte na tlačítko Dokončit.
  5. Klepněte na tlačítko OK
  6. Rozbalte Místní počítač-zásady, rozbalte položku Konfigurace počítače, rozbalte položku zásady, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom na položku Možnosti zabezpečení.
  7. Klepněte pravým tlačítkem myši zabezpečení sítě: Požadavky podepisování klienta LDAPa potom klepněte na příkaz Vlastnosti.
  8. V zabezpečení sítě: požadavky vlastnosti podepisování klienta LDAP dialogové okno, Zaškrtněte políčko Požadovat podpis v rozevíracím seznamu a klepněte na tlačítko OK.
  9. V dialogovém okně Potvrdit nastavení změnit klepněte na tlačítko Ano.
Jak nastavit klient požadavek na podepisování LDAP pomocí objektu Zásady skupiny domény
  1. Klepněte na tlačítko Start, na příkaz Spustit, zadejte mmc.exea klepněte na tlačítko OK.
  2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V dialogovém okně Přidat nebo odebrat moduly Snap inEditor objektů Zásady skupinyklepněte na tlačítko a potom klepněte na tlačítko Přidat.
  4. Klepněte na tlačítko Procházeta vyberte výchozí zásady domény (nebo objekt Zásady skupiny, pro který chcete povolit podepisování klienta LDAP).
  5. Klepněte na tlačítko OK
  6. Klepněte na tlačítko Dokončit.
  7. Klepněte na tlačítko Zavřít.
  8. Klepněte na tlačítko OK
  9. Rozbalte položku Výchozí zásady domény, rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom klepněte na položku Možnosti zabezpečení.
  10. V zabezpečení sítě: požadavky vlastnosti podepisování klienta LDAP dialogové okno, klepnutím zaškrtněte Požaduje podepsání v rozevíracím seznamu seznam a potom klepněte na tlačítko OK.
  11. V Změna nastavení potvrzení dialogovém okně klepněte na tlačítko Ano.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
823659 Klienta, služby nebo program nekompatibility, které mohou nastat při úpravě nastavení zabezpečení a přiřazení uživatelských práv

Použití klíče registru

Pokud chcete abychom Změna klíčů registru, přejděte "Opravit za mě"sekce. Pokud chcete změnit klíče registru sami, přejděte "Opravit sám"sekce.

Opravit za mě

Chcete-li tento problém vyřešit automaticky, klepněte na tlačítko oprava tlačítko nebo odkaz, klepněte na tlačítko Spustit v dialogovém okně Stažení souboru a potom postupujte podle pokynů v opravě průvodci.
Poznámky
  • Tento průvodce může být pouze v angličtině. Nicméně, automatická oprava však také funguje pro ostatní jazykové verze systému Windows.
  • Pokud nepoužíváte počítač, který má problém, uložit oprava je řešení na jednotku USB flash nebo disku CD a spusťte jej v počítači, který má potíže.
Potom pokračujte "Byly potíže vyřešeny?"sekce.

Opravit sám

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
  1. Klepněte na tlačítko Start, na příkaz Spustit, typ regedita potom klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Klepněte pravým tlačítkem myši položku registru LDAPServerIntegrity klíče a potom klepněte na příkaz změnit.
  4. Změňte hodnotu dat2a potom klepněte na tlačítko OK.
  5. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Klepněte pravým tlačítkem myši položku registru ldapclientintegrity a potom klepněte na příkaz změnit.
  7. Změňte hodnotu dat2a potom klepněte na tlačítko OK.
Ve výchozím nastavení pro Active Directory Lightweight Directory Services (AD LDS) klíč registru není k dispozici. Proto, ymusíte vytvořit organizační jednotku na LDAPServerIntegrity klíče registru Položka typu REG_DWORD ve skupinovém rámečku následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Poznámka: Zástupný symbol <InstanceName>představuje název služby AD LDS instanci, ve které<b00> </b00> </InstanceName>Chcete změnit.

Jak ověřit změny konfigurace

  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ Ldp.exea potom klepněte na tlačítko OK.
  2. V nabídce připojení klepněte na tlačítko Připojit.
  3. Do pole Server a do pole Port zadejte název serveru a non-SSL/TLS port adresářového serveru a potom klepněte na tlačítko OK.

    Poznámka:
    pro Active Directory řadiče domény, je použitelný port 389.
  4. Po vytvoření připojení, vyberte v nabídce připojenínavázat .
  5. Ve skupinovém rámečku Typ vazbyzvolte jednoduchou vazbu.
  6. Zadejte uživatelské jméno a heslo a klepněte na tlačítko OK.
Pokud se zobrazí následující chybová zpráva, úspěšně nakonfigurován adresářový server:
Ldap_simple_bind_s() se nezdařilo: požadováno silné ověřování

Byly potíže vyřešeny?

  • Zkontrolujte, zda byl problém vyřešen. Pokud je problém vyřešen, jste hotovi s touto částí. Pokud potíže přetrvávají, můžete Obraťte se na podporu.
  • Uvítáme vaše názory. Sdělit svůj názor nebo nahlásit potíže s tímto řešením komentář na "Opravit za mě"blogu nebo nám odešlete e-mailové zprávy.

ZŘEKNUTÍ SE PRÁV

SPOLEČNOST MICROSOFT NEBO JEJÍCH DODAVATELŮ ODPOVÍDAJÍCÍCH SE NEVYJADŘUJÍ OHLEDNĚ VHODNOSTI INFORMACÍ OBSAŽENÝCH V DOKUMENTECH A SOUVISEJÍCÍ GRAFIKY PUBLIKOVANÉ NA TOMTO WEBU PRO JAKÝKOLI ÚČEL. DOKUMENTY A SOUVISEJÍCÍ GRAFIKY PUBLIKOVANÉ NA TOMTO WEBU MOHOU ZAHRNOVAT TECHNICKÉ NEPŘESNOSTI NEBO TYPOGRAFICKÉ CHYBY. ZMĚNY JSOU PRAVIDELNĚ PŘIDÁNY INFORMACE ZDE UVEDENÉ. SPOLEČNOST MICROSOFT NEBO JEJÍCH DODAVATELŮ ODPOVÍDAJÍCÍCH MOHOU PROVÁDĚT VYLEPŠENÍ A/NEBO ZMĚNY V PRODUKTU (S) NEBO PROGRAM (S) POPSANÉ ZDE KDYKOLI.

Další informace o podmínkách použití přejděte na následující web společnosti Microsoft:
automatickou opravu

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 935834 - Poslední kontrola: 01/02/2016 03:59:00 - Revize: 5.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtcs
Váš názor