Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cómo habilitar LDAP iniciar sesión en Windows Server 2008

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 935834

PUBLICACIÓN RÁPIDA

PUBLICACIÓN RÁPIDA ARTÍCULOS PROPORCIONAN INFORMACIÓN EN RESPUESTA A LAS NUEVAS O TEMAS ÚNICOS Y SE ACTUALIZAN A MEDIDA QUE NUEVA INFORMACIÓN DISPONIBLE.
INTRODUCCIÓN
La seguridad de un servidor de directorio puede mejorarse significativamente al configurar el servidor para rechazar la autenticación sencilla y capa de seguridad (SASL) Enlaces LDAP que no solicitan (comprobación de integridad) de la firma o rechazar LDAP simple enlaza que se realizan en una conexión de texto no cifrado (SSL/TLS-cifradas). SASLs puede incluir protocolos como Negotiate, Kerberos, NTLM y protocolos de síntesis.

El tráfico de red sin firmar es susceptible a ataques de reproducción en el que un intruso intercepta el intento de autenticación y el errorbalance de un vale. El intruso puede volver a utilizar el vale para suplantar al usuario legítimo. AEditionaliado, el tráfico de red sin firmar es susceptible a ataques de intermediario en el que un intruso captura los paquetes entre el cliente y el servidor, cambia los paquetes y, a continuación, los reenvía al servidor. Si este se produce en un servidor LDAP, un atacante puede hacer que un servidor tome decisiones basándose en las solicitudes del cliente LDAP falsificadas.

Este artículo describe cómo configurar el servidor de directorio para protegerla frente a dichos ataques.
Más información

Cómo detectar a clientes que no utilizan el"RRequerir firma" opción

Los clientes que se basan en SASL sin signo (Negotiate, Kerberos, NTLM o implícita) LDAP enlaza o en LDAP simple se enlaza a través de una conexión no SSL/TLS deje de funcionar Después de realizar Este cambio de configuración. Para ayudar a identificar estos clientes, el servidor de directorio registros eventos de resumen 2887 se produjo una vez cada 24 horas para indicar cuántos enlaces de este tipo. Se recomienda que se configurar these los clientes no utilicen estos enlaces. Después de ningún evento de este tipo se observa durante un período prolongado, se recomienda que configure el servidor para rechazar estos enlaces.

Si necesita más información para identificar a estos clientes, puede configurar el servidor de directorio para proporcionar el registro más detallados. Este registro adicional se registrará un suceso 2889 Cuando un cliente intenta realizar un enlace LDAP sin signo. El registro Mostrars el Dirección IP del cliente y la identidad que el cliente ha intentado utilizar para autenticar. Puede habilitar este registro adicional al establecer el valor diagnóstico de Eventos de la interfaz de LDAP en 2 (Basic). Para obtener más información acerca de cómo cambiar la configuración de diagnóstica, visite el siguiente sitio Web de Microsoft:Si el servidor de directorio está configurado rechazar los LDAP SASL sin signo enlaza o LDAP simple se enlaza a través de una conexión no SSL/TLS, el servidor de directorio registrará un suceso de resumen 2888 una vez que se producen cada 24 horas, cuando tales intentos de enlace.

Cómo configurar el directorio para requerir firma de servidor LDAP

Mediante Directiva de grupo

Cómo configurar al servidor de requisito de la firma LDAP
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exey, a continuación, haga clic en Aceptar.
  2. En el menú archivo , haga clic en Agregar o quitar complemento.
  3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de administración de directiva de grupoy, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Seleccionar un objeto de directiva de grupo , haga clic en Examinar.
  5. En el cuadro de diálogo Buscar un objeto de directiva de grupo , haga clic en Directiva de dominio predeterminada en el área dominios, unidades organizativas y objetos de directiva de grupo vinculados y, a continuación, haga clic en Aceptar.
  6. Haga clic en Finalizar.
  7. Haga clic en Aceptar.
  8. Expanda La directiva predeterminada de controladores de dominio, expanda Configuración del equipo, expanda directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  9. Haga clic en controlador de dominio: requisitos de firma de servidor LDAPy, a continuación, haga clic en Propiedades.
  10. En el controlador de dominio: requisitos de propiedades de firma de servidor LDAP diálogo cuadro, habilite Definir esta configuración de directiva, Haga clic para seleccionar la opción requiere firma en la lista desplegable Definir esta configuración de directiva y, a continuación, haga clic en Aceptar.
  11. En el cuadro de diálogo Confirmar cambio de configuración , haga clic en .
Cómo configurar al cliente requisito de firma de LDAP a través de la directiva de equipo local
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMC.exey, a continuación, haga clic en Aceptar.
  2. En el menú archivo , haga clic en Agregar o quitar complemento.
  3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de objetos de directiva de grupo, y, a continuación Haga clic en Agregar.
  4. Haga clic en Finalizar.
  5. Haga clic en Aceptar.
  6. Expanda Directiva de equipo Local, expanda Configuración del equipo, expanda directivas, expanda Configuración de Windows, expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  7. Haga clic en seguridad de red: requisitos de firma de cliente LDAPy, a continuación, haga clic en Propiedades.
  8. En la seguridad de red: requisitos de propiedades de firma de cliente LDAP cuadro de diálogo, Haga clic para seleccionar la opción requiere firma en la lista desplegable y, a continuación, haga clic en Aceptar.
  9. En el cuadro de diálogo Confirmar cambio de configuración , haga clic en .
Cómo configurar al cliente requisito de firma de LDAP a través de un objeto de directiva de grupo del dominio
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exe y, a continuación, haga clic en Aceptar.
  2. En el menú archivo , haga clic en Agregar o quitar complemento.
  3. En el cuadro de diálogo Agregar o quitar complementos , haga clic en Editor de objetos de directiva de grupo y, a continuación, haga clic en Agregar.
  4. Haga clic en Examinary, a continuación, seleccione directiva predeterminada de dominio (o el objeto de directiva de grupo para el que desea habilitar la firma de cliente LDAP).
  5. Haga clic en Aceptar.
  6. Haga clic en Finalizar.
  7. Haga clic en Cerrar.
  8. Haga clic en Aceptar.
  9. Expanda la Directiva de dominio predeterminada, Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  10. En el seguridad de red: las propiedades de los requisitos de firma de cliente LDAP cuadro de diálogo, haga clic para seleccionar requiere firma en la lista desplegable de la lista y, a continuación, haga clic en Aceptar.
  11. En la Confirme el cambio de configuración de diálogo cuadro, haga clic en .
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
823659 Incompatibilidades de programa que pueden producirse al modificar la configuración de seguridad y las asignaciones de derechos de usuario, cliente y servicio

Cómo utilizar claves del registro

Para que podamos cambiar las claves del registro para usted, vaya a la "Solucionarlo en mi lugar. Si desea cambiar las claves de registro usted mismo, vaya a la "Solucionarlo por mí mismo.

Solucionarlo en mi lugar

Para corregir este problema automáticamente, haga clic en el botón corregirlo o vínculo, haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos de la corrección, Asistente.
Notas:
  • Este asistente puede estar sólo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no utiliza el equipo que tiene el problema, guarde la corrección se solución a una unidad flash o un CD y, a continuación, ejecútelo en el equipo que tiene el problema.
A continuación, vaya a la "¿Esto ha solucionado el problema?.

Solucionarlo por mí mismo

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedity, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Haga clic en la entrada de registro LDAPServerIntegrity y, a continuación, haga clic en Modificar.
  4. Cambiar los datos de valor a 2y, a continuación, haga clic en Aceptar.
  5. Busque y, a continuación, haga clic en la subclave del registro siguiente:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Haga clic en la entrada de registro ldapclientintegrity y, a continuación, haga clic en Modificar.
  7. Cambiar los datos de valor2y, a continuación, haga clic en Aceptar.
De forma predeterminada, para los servicios de directorio ligero de Active Directory (AD LDS), la clave del registro no está disponible. Por lo tanto, ydebe crear la unidad organizativa un Registro LDAPServerIntegrity entrada del tipo REG_DWORD bajo la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Nota: El marcador de posición <InstanceName>representa el nombre de AD LDS que la instancia<b00> </b00> </InstanceName>que desea cambiar.

Cómo comprobar los cambios de configuración

  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Ldp.exey, a continuación, haga clic en Aceptar.
  2. En el menú conexión , haga clic en Conectar.
  3. En el campo de servidor y en el campo puerto , escriba el nombre del servidor y el puerto no SSL/TLS de su servidor de directorio y, a continuación, haga clic en Aceptar.

    Nota
    para un dominio controlador de Active Directory, el puerto correspondiente es el 389.
  4. Después de establecer una conexión, seleccione el enlace en el menú de conexión .
  5. En el tipo de enlace, seleccione enlace Simple.
  6. Escriba el nombre de usuario y la contraseña y, a continuación, haga clic en Aceptar.
Si recibe el siguiente mensaje de error, ha configurado correctamente el servidor de directorio:
En ldap_simple_bind_s () Error: se requiere autenticación sólida

¿Esto ha solucionado el problema?

DESCARGO DE RESPONSABILIDAD

MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES NO SE RESPONSABILIZAN DE LA ADECUACIÓN DE LA INFORMACIÓN CONTENIDA EN LOS DOCUMENTOS Y GRÁFICOS RELACIONADOS PUBLICAN EN ESTE SITIO WEB PARA CUALQUIER PROPÓSITO. LOS DOCUMENTOS Y GRÁFICOS RELACIONADOS PUBLICADOS EN ESTE SITIO WEB PODRÍAN INCLUIR IMPRECISIONES TÉCNICAS O ERRORES TIPOGRÁFICOS. PERIÓDICAMENTE PUEDEN AGREGARSE CAMBIOS A LA INFORMACIÓN DE ESTE DOCUMENTO. MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES PUEDEN REALIZAR MEJORAS O CAMBIOS EN EL PRODUCTO (S) O EL PROGRAMA (S) DESCRITOS EN ESTE DOCUMENTO EN CUALQUIER MOMENTO.

Para obtener más información acerca de las condiciones de uso, visite el siguiente sitio Web de Microsoft:
FixIt corregirlo

Warning: This article has been translated automatically

Propiedades

Id. de artículo: 935834 - Última revisión: 07/03/2015 20:39:00 - Revisión: 3.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtes
Comentarios
=4050&did=1&t=">ild(m);