Päivitetty huhtikuu 2024: Älä enää saa virheilmoituksia ja hidasta järjestelmääsi optimointityökalumme avulla. Hanki se nyt osoitteessa linkki
- Lataa ja asenna korjaustyökalu täältä.
- Anna sen skannata tietokoneesi.
- Työkalu tulee silloin Korjaa tietokoneesi.
LDAP (Lightweight Directory Access Protocol) on vakiosovellusprotokolla, jota Windows Server Active Directory (AD) käyttää hakemistopalvelujen ylläpitoon. Asiakaslaitteet ja -sovellukset todentavat AD: lle LDAP-sidontatoiminnoilla. Yksinkertainen LDAP-sidonta edellyttää käyttäjän tunnistetietojen lähettämistä tekstimuodossa verkon kautta. Tämä tarkoittaa, että käyttäjänimeä ja salasanaa ei salata. Vaikka DA tukee yksinkertaista sitomista, se ei ole suositeltava lähestymistapa.
Sovellukset, jotka käyttävät yksinkertaisia LDAP-sidoksia, tulisi päivittää käyttämään sen sijaan yksinkertaisia todennus- ja suojauskerros (SASL) -sidoksia, jotka tukevat merkkejä ja sinettejä (todentaminen / eheys ja salaus). Sovellukset, joita ei voi päivittää, voivat käyttää LDAP: ää TLS: n kautta, joskus kutsutaan LDAPS: ksi, mutta toteutus ja ylläpito ovat monimutkaisempia.
Hyvä uutinen on, että kaikki tällä hetkellä tuetut Windows-versiot neuvottelevat oletusarvoisesti allekirjoitetuista LDAP-yhteyksistä. Active Directory hyväksyy kuitenkin yksinkertaiset LDAP-yhteydet, ellei LDAP-allekirjoitukseksi ole asetettu ”pakollinen”. Jos LDAP-asetukseksi määritetään "pakollinen" toimialueessa, yksinkertaiset LDAP-sidokset epäonnistuvat. Joten, jos haluat varmistaa, että yksinkertaisia LDAP-sidoksia ei käytetä, sinun on määritettävä AD vaatimaan LDAP-allekirjoitusta. Kuten minkä tahansa tietoturvamuutoksen kohdalla, ennen kuin annat toimialueen käyttää LDAP-allekirjoitusta, sinun on suoritettava perusteellinen testi varmistaaksesi, että sinulla ei ole sovelluksia, jotka perustuvat yksinkertaisiin LDAP-sidoksiin.
LDAP-allekirjoitustasot
SASL voi käyttää kolmea tasoa allekirjoittaakseen tietoja Active Directoryssa
- Ei vaadita (taso 0)
- Allekirjoita, jos molemmat osapuolet kykenevät (taso 1)
- Aina allekirjoittaa (taso 2)
Verkkotunnuksen ohjaimessa vaadittava allekirjoitustaso määritetään rekisteriavaimen parametrissa HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ arvolla LdapServerIntegrity (REG_DWORD). Arvo voidaan ohittaa ryhmäkäytännöllä kohdassa Tietokoneen asetukset \ Windows-asetukset \ Paikalliset käytännöt \ Suojausasetukset kohdassa Verkkotunnuksen ohjain: Ldap-palvelimen allekirjoitusvaatimukset.
Microsoft suosittelee, että järjestelmänvalvojat tekevät ADV190023-julkaisussa kuvatut karkaisumuutokset lisäämällä LdapServerIntegrity-arvon arvosta 1 arvoon 2.
Asiakas
Asiakkaan allekirjoitustaso määritetään HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP-rekisteriavaimessa arvolla LdapClientIntegrity. Arvoa voidaan muuttaa käyttämällä ryhmäkäytäntöä kohdassa Tietokoneen asetukset \ Windows-asetukset \ Paikalliset käytännöt \ Suojausasetukset kohdassa Verkkoturva: LDAP-asiakkaan allekirjoitusvaatimukset.
LDAP - allekirjoituksen tuki on lisätty Windows 7: ään (Service Pack 1) ja Windows Server 2008 R2. Jos sekä asiakas että palvelin tukevat sitä ja niiden arvo on vähintään 1, he neuvottelevat ja käyttävät sitä.
Jotkut vanhemmat PowerShell- tai Visual Basic -komentosarjat voivat yrittää avata LDAP-yhteyden pelkkien tekstin valtuustiedoilla, jos komentosarja ei pyydä LDAP-allekirjoitusta. Katso Tavallisen tekstin LDAP-linkkien tunnistaminen DC: iin.
LDAP-allekirjoituksen ottaminen käyttöön ryhmäkäytännön avulla
Huhtikuun 2024 päivitys:
Voit nyt estää tietokoneongelmat käyttämällä tätä työkalua, kuten suojataksesi tiedostojen katoamiselta ja haittaohjelmilta. Lisäksi se on loistava tapa optimoida tietokoneesi maksimaaliseen suorituskykyyn. Ohjelma korjaa yleiset virheet, joita saattaa ilmetä Windows -järjestelmissä, helposti - et tarvitse tuntikausia vianmääritystä, kun sinulla on täydellinen ratkaisu käden ulottuvilla:
- Vaihe 1: Lataa PC-korjaus- ja optimointityökalu (Windows 10, 8, 7, XP, Vista - Microsoft Gold Certified).
- Vaihe 2: Valitse “Aloita hakuLöytää Windows-rekisterin ongelmat, jotka saattavat aiheuttaa PC-ongelmia.
- Vaihe 3: Valitse “Korjaa kaikki”Korjata kaikki ongelmat.
Kuinka määritellä LDAP-palvelimen allekirjoitusvaatimus
- Valitse Käynnistä> Suorita, kirjoita mmc.exe ja valitse OK.
- Valitse Tiedosto> Lisää / poista tilannekuva, valitse Ryhmäkäytännön hallintaeditori ja valitse Lisää.
- Valitse Valitse ryhmäkäytäntöobjekti> Selaa.
- Valitse Etsi ryhmäkäytäntöobjektit -valintaikkunan Verkkotunnukset, TAI ja niihin liittyvät ryhmäkäytäntöobjektit -alueesta Oletusaluealueen ohjauskäytäntö ja valitse sitten OK.
- Valitse Valmis.
- Valitse OK.
- Valitse verkkotunnuksen oletusohjaimen oletuskäytäntö> Tietokoneasetukset> Käytännöt> Windows-asetukset> Suojausasetukset> Paikalliset käytännöt ja valitse Suojausasetukset.
- Napsauta hiiren kakkospainikkeella Domain Controller: LDAP-palvelimen allekirjoitusvaatimukset ja valitse Ominaisuudet.
- Ota Verkkotunnuksen ohjain: LDAP-palvelimen allekirjoitusvaatimukset -ominaisuudet käyttöön tämä käytäntöasetus, valitse Määritä tämä käytäntö -luettelosta Allekirjoitusvaatimukset ja valitse OK.
- Valitse Vahvista asetusten muuttaminen -valintaikkunassa Kyllä.
Määritä asiakkaan LDAP-allekirjoituspyyntö paikallisen ryhmäkäytännön avulla
Valitse Käynnistä> Suorita, kirjoita mmc.exe ja valitse OK.
Valitse Tiedosto> Lisää tai poista tilannekuva.
Valitse Lisää tai poista valokuvia -valintaikkunassa Ryhmäkäytäntöobjektieditori ja valitse sitten Lisää.
Valitse Valmis.
Valitse OK.
Valitse Paikallinen tietokäytäntö> Tietokoneen kokoonpano> Käytännöt> Windows-asetukset> Suojausasetukset> Paikalliset käytännöt ja valitse Suojausasetukset.
Napsauta hiiren kakkospainikkeella Verkkoturva: LDAP-asiakkaan allekirjoitusvaatimukset ja valitse Ominaisuudet.
Valitse Verkkoturva: LDAP-asiakkaan allekirjoitusvaatimusten ominaisuudet -kohdassa luettelosta allekirjoitusvaatimukset ja valitse sitten OK.
Valitse Vahvista asetusten muuttaminen -valintaikkunassa Kyllä.
https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server
Asiantuntijavinkki: Tämä korjaustyökalu tarkistaa arkistot ja korvaa vioittuneet tai puuttuvat tiedostot, jos mikään näistä tavoista ei ole toiminut. Se toimii hyvin useimmissa tapauksissa, joissa ongelma johtuu järjestelmän korruptiosta. Tämä työkalu myös optimoi järjestelmäsi suorituskyvyn maksimoimiseksi. Sen voi ladata Napsauttamalla tätä
CCNA, Web-kehittäjä, PC-vianmääritys
Olen tietokoneen harrastaja ja harrastava IT-ammattilainen. Minulla on vuosien kokemus tietokoneen ohjelmoinnista, laitteiden vianmäärityksestä ja korjaamisesta. Olen erikoistunut Web-kehitys- ja tietokannan suunnitteluun. Minulla on myös CCNA-sertifiointi verkon suunnitteluun ja vianmääritykseen.