Oppdatert april 2024: Slutt å få feilmeldinger og senk systemet med optimaliseringsverktøyet vårt. Få den nå på denne koblingen
- Last ned og installer reparasjonsverktøyet her.
- La den skanne datamaskinen din.
- Verktøyet vil da fiks datamaskinen din.
Lightweight Directory Access Protocol (LDAP) er en standard applikasjonsprotokoll som brukes av Windows Server Active Directory (AD) for å opprettholde katalogtjenester. Klientenheter og applikasjoner autentiserer seg mot AD ved hjelp av LDAP "binding" -operasjoner. Enkel LDAP-binding innebærer å sende brukerlegitimasjon i ren tekst over nettverket. Dette betyr at det ikke er kryptering av brukernavnet og passordet. Selv om DA støtter enkel binding, er det ikke en anbefalt tilnærming.
Applikasjoner som bruker enkle LDAP-bindinger, bør oppgraderes til å bruke SASL-bindinger (Simple Authentication and Security Layer) som i stedet støtter tegn og sel (verifisering / integritet og kryptering). Programmer som ikke kan oppgraderes, kan bruke LDAP over TLS, noen ganger kalt LDAPS, men implementering og vedlikehold er mer komplisert.
Den gode nyheten er at alle for øyeblikket støttede versjoner av Windows forhandler som standard signerte LDAP-tilkoblinger. Imidlertid godtar Active Directory enkle LDAP-tilkoblinger med mindre LDAP-signatur er satt til "obligatorisk". Hvis LDAP er satt til "obligatorisk" i et domene, vil enkle LDAP-bindinger mislykkes. Så hvis du vil være sikker på at enkle LDAP-bindinger ikke brukes, må du konfigurere AD slik at det krever LDAP-signatur. Som med alle sikkerhetsendringer, må du utføre en grundig test før du tillater et domene å bruke LDAP-signering for å sikre at du ikke har applikasjoner som er avhengige av enkle LDAP-bindinger.
LDAP signaturnivåer
Det er tre nivåer som SASL kan bruke for å signere data i Active Directory
- Ikke påkrevd (nivå 0)
- Signer hvis begge parter er i stand (nivå 1)
- Signer alltid (nivå 2)
På en domenekontroller er det nødvendige signaturnivået definert i parameteren HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ NTDS \ under verdien LdapServerIntegrity (REG_DWORD) i registernøkkelen. Verdien kan overstyres av gruppepolitikken under Datakonfigurasjon \ Windows-innstillinger \ Lokale politikker \ Sikkerhetsalternativer under domenekontroller: Krav til signering av Ldap-server.
Microsoft anbefaler administratorer å gjøre herdingendringene beskrevet i ADV190023 ved å øke verdien på LdapServerIntegrity fra 1 til 2.
kunde
Klientsignaturnivået er definert i HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LDAP registernøkkel under verdien LdapClientIntegrity. Verdien kan endres ved å bruke gruppepolicyen under Datakonfigurasjon \ Windows-innstillinger \ Lokale politikker \ Sikkerhetsalternativer under Nettverkssikkerhet: Krav om signering av LDAP-klient.
LDAP-signeringsstøtte er lagt til Windows 7 (Service Pack 1) og Windows Server 2008 R2. Hvis både klienten og serveren støtter den og har en verdi på 1 eller høyere, vil de forhandle og bruke den.
Noen eldre PowerShell- eller Visual Basic-skript kan forsøke å åpne en LDAP-forbindelse med vanlig tekstinformasjon hvis skriptet ikke ber om LDAP-signatur. Se Identifisere LDAP-koblinger til ren tekst til dine DC-er.
Aktivere LDAP-signering ved bruk av gruppepolicy
Oppdatering fra april 2024:
Du kan nå forhindre PC -problemer ved å bruke dette verktøyet, for eksempel å beskytte deg mot tap av filer og skadelig programvare. I tillegg er det en fin måte å optimalisere datamaskinen for maksimal ytelse. Programmet fikser vanlige feil som kan oppstå på Windows -systemer uten problemer - du trenger ikke timer med feilsøking når du har den perfekte løsningen på fingertuppene:
- Trinn 1: Last ned PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista - Microsoft Gold-sertifisert).
- Trinn 2: Klikk på "start Scan"For å finne Windows-registerproblemer som kan forårsake PC-problemer.
- Trinn 3: Klikk på "Reparer alle"For å fikse alle problemer.
Slik angir du LDAP-serverens signaturkrav
- Velg Start> Kjør, skriv mmc.exe, og velg OK.
- Velg Fil> Legg til / fjern øyeblikksbilde, velg Group Policy Management Editor og velg Legg til.
- Velg Velg gruppepolicyobjekt> Bla gjennom.
- I dialogboksen Finn gruppepolicyobjekt, velg Standard domene-kontrollerpolicy i området Domener, ELLER og Relaterte gruppepolitiske objekter-område og velg OK.
- Velg Fullfør.
- Velg OK.
- Velg standard domenekontrollerpolicy> Datakonfigurasjon> Politikk> Windows-innstillinger> Sikkerhetsinnstillinger> Lokale retningslinjer, og velg Sikkerhetsalternativer.
- Høyreklikk Domain Controller: LDAP Server Signing Krav og velg Properties.
- På egenskaper for domenekontroller: LDAP-serveregistreringskrav, aktiver denne policyinnstillingen, velg Signeringskrav fra Definer denne policyinnstillingslisten, og velg OK.
- Velg Ja i dialogboksen Bekreft endring av innstillinger.
Å definere kundens LDAP-signaturforespørsel ved hjelp av lokal gruppepolicy
Velg Start> Kjør, skriv mmc.exe, og velg OK.
Velg Fil> Legg til / fjern øyeblikksbilde.
I dialogboksen Legg til eller fjern øyeblikksbilder velger du Group Editor Object Editor og velger deretter Legg til.
Velg Fullfør.
Velg OK.
Velg Retningslinjer for lokal datamaskin> Datakonfigurasjon> Retningslinjer> Windows-innstillinger> Sikkerhetsinnstillinger> Lokale retningslinjer, og velg Sikkerhetsalternativer.
Høyreklikk Nettverkssikkerhet: Krav om signering av LDAP-klient, og velg Egenskaper.
Under Nettverkssikkerhet: LDAP-klientegenskaper for signeringskrav, velg signeringsbehov fra listen og velg OK.
I dialogboksen Bekreft endring av innstillinger velger du Ja.
https://support.microsoft.com/en-us/help/935834/how-to-enable-ldap-signing-in-windows-server
Ekspert Tips: Dette reparasjonsverktøyet skanner depotene og erstatter korrupte eller manglende filer hvis ingen av disse metodene har fungert. Det fungerer bra i de fleste tilfeller der problemet skyldes systemkorrupsjon. Dette verktøyet vil også optimere systemet ditt for å maksimere ytelsen. Den kan lastes ned av Klikk her
CCNA, Webutvikler, PC Feilsøking
Jeg er en datamaskinentusiast og en praktiserende IT-profesjonell. Jeg har mange års erfaring bak meg i dataprogrammering, feilsøking og reparasjon av maskinvare. Jeg er spesialisert på webutvikling og database design. Jeg har også en CCNA-sertifisering for nettverksdesign og feilsøking.