Schakel LDAP-ondertekening in Windows Server in

by


Bijgewerkt april 2024: Stop met het krijgen van foutmeldingen en vertraag uw systeem met onze optimalisatietool. Haal het nu bij deze link
  1. Download en installeer de reparatietool hier.
  2. Laat het uw computer scannen.
  3. De tool zal dan repareer je computer.

Het Lightweight Directory Access Protocol (LDAP) is een standaard toepassingsprotocol dat door Windows Server Active Directory (AD) wordt gebruikt om directoryservices te onderhouden. Clientapparaten en -toepassingen worden geverifieerd bij de AD met behulp van LDAP "binding" -bewerkingen. Bij eenvoudige LDAP-binding worden gebruikersreferenties in platte tekst via het netwerk verzonden. Dit betekent dat er geen versleuteling van de gebruikersnaam en het wachtwoord is. Hoewel de DA eenvoudige binding ondersteunt, is dit geen aanbevolen aanpak.

Toepassingen die eenvoudige LDAP-bindingen gebruiken, moeten worden geüpgraded om in plaats daarvan Simple Authentication and Security Layer (SASL) -bindingen te gebruiken die tekens en zegels (verificatie / integriteit en codering) ondersteunen. Toepassingen die niet kunnen worden geüpgraded, kunnen LDAP via TLS gebruiken, ook wel LDAPS genoemd, maar implementatie en onderhoud is complexer.

Het goede nieuws is dat alle momenteel ondersteunde versies van Windows standaard onderhandelen over ondertekende LDAP-verbindingen. Active Directory accepteert echter eenvoudige LDAP-verbindingen, tenzij de LDAP-handtekening is ingesteld op "vereist". Als LDAP is ingesteld op "vereist" in een domein, mislukken eenvoudige LDAP-bindingen. Dus als u zeker wilt zijn dat geen eenvoudige LDAP-bindingen worden gebruikt, moet u AD configureren om LDAP-handtekening te vereisen. Zoals bij elke beveiligingswijziging, moet u, voordat u een domein toestaat LDAP-ondertekening te gebruiken, een grondige test uitvoeren om er zeker van te zijn dat u geen toepassingen hebt die afhankelijk zijn van eenvoudige LDAP-bindingen.

Signatuurniveaus LDAP

Er zijn drie niveaus die SASL kan gebruiken om gegevens in Active Directory te ondertekenen

  • Niet vereist (niveau 0)
  • Teken of beide partijen in staat zijn (niveau 1)
  • Altijd ondertekenen (niveau 2)

Op een domeincontroller wordt het vereiste handtekeningniveau gedefinieerd in de parameter HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ onder de waarde LdapServerIntegrity (REG_DWORD) in de registersleutel. De waarde kan worden overschreven door het groepsbeleid onder Computerconfiguratie \ Windows-instellingen \ Lokaal beleid \ Beveiligingsopties onder Domeincontroller: Ldap Server-ondertekeningsvereisten.

Microsoft raadt beheerders aan om de verhardingswijzigingen door te voeren die worden beschreven in ADV190023 door de waarde van LdapServerIntegrity te verhogen van 1 naar 2.

CLIËNT

Het clienthandtekeningsniveau wordt gedefinieerd in de registersleutel HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP onder de waarde LdapClientIntegrity. De waarde kan worden gewijzigd met behulp van het groepsbeleid onder Computerconfiguratie \ Windows-instellingen \ Lokaal beleid \ Beveiligingsopties onder Netwerkbeveiliging: vereisten voor ondertekenen van LDAP-client.

Ondersteuning voor LDAP-ondertekening is toegevoegd aan Windows 7 (Service Pack 1) en Windows Server 2008 R2. Als zowel de client als de server dit ondersteunen en de waarde 1 of hoger hebben, zullen ze erover onderhandelen en het gebruiken.

Sommige oudere PowerShell- of Visual Basic-scripts proberen mogelijk een LDAP-verbinding met inloggegevens voor platte tekst te openen als het script niet om de LDAP-handtekening vraagt. Zie LDAP-koppelingen in platte tekst naar uw DC's identificeren.

LDAP-ondertekening inschakelen met groepsbeleid



Update april 2024:

U kunt nu pc-problemen voorkomen door deze tool te gebruiken, zoals u beschermen tegen bestandsverlies en malware. Bovendien is het een geweldige manier om uw computer te optimaliseren voor maximale prestaties. Het programma repareert met gemak veelvoorkomende fouten die op Windows-systemen kunnen optreden - urenlange probleemoplossing is niet nodig als u de perfecte oplossing binnen handbereik heeft:

  • Stap 1: Download PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista - Microsoft Gold Certified).
  • Stap 2: klik op "Start scannen"Om registerproblemen met Windows te vinden die pc-problemen kunnen veroorzaken.
  • Stap 3: klik op "Herstel alles"Om alle problemen op te lossen.

Download



Het specificeren van de vereiste handtekening van de LDAP-server

  • Selecteer Start> Uitvoeren, typ mmc.exe en selecteer OK.
  • Selecteer Bestand> Momentopname toevoegen / verwijderen, selecteer Groepsbeleidsbeheer-editor en selecteer Toevoegen.
  • Selecteer Groepsbeleidsobject selecteren> Bladeren.
  • Selecteer in het dialoogvenster Groepsbeleidsobject zoeken in het gebied Domeinen, OR en Gerelateerde groepsbeleidsobjecten Standaarddomeincontrollerbeleid en selecteer OK.
  • Selecteer Finish.
  • Selecteer OK.
  • Selecteer Standaarddomeincontrollerbeleid> Computerconfiguratie> Beleid> Windows-instellingen> Beveiligingsinstellingen> Lokaal beleid en selecteer Beveiligingsopties.
  • Klik met de rechtermuisknop op Domain Controller: LDAP Server Signing Requirements en selecteer Properties.
  • Schakel op de domeincontroller: Eigenschappen LDAP-server-ondertekeningsvereisten deze beleidsinstelling in, selecteer Ondertekeningsvereisten in de lijst Define this policy setting en selecteer OK.
  • Selecteer Ja in het dialoogvenster Wijziging van instellingen bevestigen.

Om het LDAP-handtekeningverzoek van de klant te definiëren met behulp van Lokaal groepsbeleid

Selecteer Start> Uitvoeren, typ mmc.exe en selecteer OK.
Selecteer Bestand> Momentopname toevoegen / verwijderen.
Selecteer in het dialoogvenster Snapshots toevoegen of verwijderen de Groepsbeleidsobjecteditor en selecteer vervolgens Toevoegen.
Kies Finish.
Kies OK
Selecteer Lokaal computerbeleid> Computerconfiguratie> Beleid> Windows-instellingen> Beveiligingsinstellingen> Lokaal beleid en selecteer Beveiligingsopties.
Klik met de rechtermuisknop op Netwerkbeveiliging: vereisten voor ondertekenen van LDAP-client en selecteer Eigenschappen.
Selecteer onder Network Security: LDAP Client Signing Requirements Properties, Signing Requirements in de lijst en selecteer OK.
Selecteer Ja in het dialoogvenster Instellingen wijzigen bevestigen.

https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server



Expert Tip: Deze reparatietool scant de repositories en vervangt corrupte of ontbrekende bestanden als geen van deze methoden heeft gewerkt. Het werkt goed in de meeste gevallen waar het probleem te wijten is aan systeembeschadiging. Deze tool zal ook uw systeem optimaliseren om de prestaties te maximaliseren. Het kan worden gedownload door Hier klikken

Publicatie Bezichtigingen: 1,961
Gerelateerde berichten:
  1. Hoe te repareren Accountbeperkingen zorgen ervoor dat deze gebruiker niet kan inloggen
  2. Hoe beschadigde standaard domein groepsbeleid in Windows Server te repareren
  3. Groepsbeleidsinstellingen Referentiehandleiding voor Windows 10 / 8.1 / 7 / Server
  4. Herstel mapomleiding wordt niet bijgewerkt naar een nieuwe server