更新された4月2024:エラーメッセージの表示を停止し、最適化ツールを使用してシステムの速度を低下させます。 今すぐ入手 このリンク
- ダウンロードしてインストール こちらの修理ツール。
- コンピュータをスキャンしてみましょう。
- その後、ツールは あなたのコンピューターを修理する.
ライトウェイトディレクトリアクセスプロトコル(LDAP)は、Windows Server Active Directory(AD)がディレクトリサービスを維持するために使用する標準のアプリケーションプロトコルです。 クライアントデバイスとアプリケーションは、LDAP「バインディング」操作を使用してADに対して認証します。 単純なLDAPバインディングには、ネットワークを介してプレーンテキストでユーザー資格情報を送信することが含まれます。 これは、ユーザー名とパスワードの暗号化がないことを意味します。 DAは単純なバインディングをサポートしていますが、推奨されるアプローチではありません。
シンプルLDAPバインディングを使用するアプリケーションは、代わりに文字とシール(検証/整合性と暗号化)をサポートするシンプル認証およびセキュリティレイヤー(SASL)バインディングを使用するようにアップグレードする必要があります。 アップグレードできないアプリケーションはLDAP over TLS(LDAPSとも呼ばれる)を使用できますが、実装と保守はより複雑です。
幸いなことに、現在サポートされているすべてのバージョンのWindowsは、デフォルトで署名付きLDAP接続をネゴシエートします。 ただし、Active Directoryは、LDAP署名が「必須」に設定されていない限り、単純なLDAP接続を受け入れます。 ドメインでLDAPが「必須」に設定されている場合、単純なLDAPバインディングは失敗します。 したがって、単純なLDAPバインディングが使用されていないことを確認する場合は、LDAP署名を要求するようにADを構成する必要があります。 他のセキュリティ変更と同様に、ドメインにLDAP署名の使用を許可する前に、徹底的なテストを実行して、単純なLDAPバインディングに依存するアプリケーションがないことを確認する必要があります。
LDAP署名レベル
SASLがActive Directoryのデータに署名するために使用できるXNUMXつのレベルがあります
- 不要(レベル0)
- 両方の当事者が対応できるかどうかに署名する(レベル1)
- 常に署名(レベル2)
ドメインコントローラでは、必要な署名レベルは、レジストリキーの値LdapServerIntegrity(REG_DWORD)の下のパラメータHKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \で定義されています。 この値は、[コンピューターの構成]、[Windowsの設定]、[ローカルポリシー]、[ドメインコントローラーのセキュリティオプション]のグループポリシーで上書きできます:LDAPサーバーの署名要件。
マイクロソフトでは、管理者がLdapServerIntegrityの値を190023から1に増やすことにより、ADV2で説明されている強化変更を行うことを推奨しています。
クライアント
クライアントの署名レベルは、LdapClientIntegrityという値のHKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAPレジストリキーで定義されています。 この値は、[コンピューターの構成]、[Windowsの設定]、[ローカルポリシー]、[セキュリティオプション]のグループポリシーを使用して、[ネットワークセキュリティ:LDAPクライアントの署名要件]で変更できます。
LDAP署名のサポートがWindows 7(Service Pack 1)に追加され、 Windows Serverの 2008 R2。 クライアントとサーバーの両方がそれをサポートし、1以上の値を持っている場合、それらはネゴシエートして使用します。
古いPowerShellまたはVisual Basicスクリプトは、スクリプトがLDAP署名を要求しない場合、プレーンテキストの資格情報でLDAP接続を開こうとする場合があります。 DCへのプレーンテキストLDAPリンクの識別を参照してください。
グループポリシーを使用してLDAP署名を有効にする
2024 年 XNUMX 月の更新:
ファイルの損失やマルウェアからの保護など、このツールを使用してPCの問題を防ぐことができるようになりました。 さらに、最大のパフォーマンスを得るためにコンピューターを最適化するための優れた方法です。 このプログラムは、Windowsシステムで発生する可能性のある一般的なエラーを簡単に修正します。完璧なソリューションが手元にある場合は、何時間ものトラブルシューティングを行う必要はありません。
- ステップ1: PC Repair&Optimizer Toolをダウンロード (Windows 10、8、7、XP、Vista - マイクロソフトゴールド認定)。
- ステップ2:“スキャンの開始PCの問題の原因である可能性があるWindowsレジストリ問題を見つけるため。
- ステップ3:“全て直すすべての問題を解決します。
LDAPサーバーの署名要件を指定する方法
- [スタート]> [ファイル名を指定して実行]を選択し、「mmc.exe」と入力して、[OK]を選択します。
- [ファイル]> [スナップショットの追加と削除]を選択し、[グループポリシー管理エディター]を選択して、[追加]を選択します。
- [グループポリシーオブジェクトの選択]> [参照]を選択します。
- [グループポリシーオブジェクトの検索]ダイアログボックスの[ドメイン、またはORおよび関連するグループポリシーオブジェクト]領域で、[既定のドメインコントローラーポリシー]を選択し、[OK]を選択します。
- 完了を選択します。
- [OK]を選択します。
- [既定のドメインコントローラーポリシー]> [コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]を選択し、[セキュリティオプション]を選択します。
- [ドメインコントローラー:LDAPサーバーの署名要件]を右クリックし、[プロパティ]を選択します。
- [ドメインコントローラー:LDAPサーバーの署名要件]プロパティで、このポリシー設定を有効にし、[このポリシー設定の定義]リストから[署名要件]を選択して、[OK]を選択します。
- [設定の変更の確認]ダイアログボックスで、[はい]を選択します。
ローカルグループポリシーを使用して顧客のLDAP署名要求を定義するには
[スタート]> [ファイル名を指定して実行]を選択し、「mmc.exe」と入力して、[OK]を選択します。
[ファイル]> [スナップショットの追加と削除]を選択します。
[スナップショットの追加または削除]ダイアログボックスで、グループポリシーオブジェクトエディターを選択し、[追加]を選択します。
完了を選択します。
OKを選択します。
[ローカルコンピューターポリシー]> [コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ローカルポリシー]を選択し、[セキュリティオプション]を選択します。
[ネットワークセキュリティ:LDAPクライアント署名要件]を右クリックし、[プロパティ]を選択します。
[ネットワークセキュリティ:LDAPクライアント署名要件のプロパティ]で、リストから[署名要件]を選択し、[OK]を選択します。
[設定変更の確認]ダイアログボックスで、[はい]を選択します。
https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server
専門家のヒント: この修復ツールはリポジトリをスキャンし、これらの方法のいずれも機能しなかった場合、破損したファイルまたは欠落しているファイルを置き換えます。 問題がシステムの破損に起因するほとんどの場合にうまく機能します。 このツールは、パフォーマンスを最大化するためにシステムも最適化します。 それはによってダウンロードすることができます ここをクリック
CCNA、Web開発者、PCトラブルシューター
私はコンピュータ愛好家で、実践的なITプロフェッショナルです。 私はコンピュータープログラミング、ハードウェアのトラブルシューティング、修理の分野で長年の経験があります。 私はWeb開発とデータベースデザインを専門としています。 また、ネットワーク設計およびトラブルシューティングに関するCCNA認定も受けています。