我需要将计算机加入到我们的 Active Directory 域。这些计算机位于不受信任的网络上。
如何强制客户端计算机使用安全协议(LDAPS 而不是 LDAP)加入域?
答案1
我同意其他发帖者的观点,他们说您需要一个网络层解决方案,但我不同意使用 VPN 客户端的建议。这增加了复杂性,如果您希望不受信任网络上的客户端在启动期间应用组策略,那么使用 VPN 客户端很可能无法实现。
在不受信任的网络上操作客户端时,域加入(以及一般的身份验证)是我最不关心的事情。我更关心的是文件服务器、应用程序服务器等的纯文本流量。在我看来,网络层加密和身份验证是必要的。
IPSEC 就是您在这里寻找的东西。第一步是在域控制器计算机上部署 IPSEC 策略,该策略要求与不受信任的客户端所在的子网进行 IPSEC 通信(理想情况下,也应用于客户端将与之通信的成员服务器计算机)。
第二步是使用AuthIP 协议安全地将客户端加入域。AuthIP 允许客户端在域加入过程中与域控制器建立 IPSEC 连接。不幸的是,微软对 AuthIP 的记录相当少。自 Windows Vista 以来,它一直存在于 Windows Server 和客户端产品中。
另一个选择可能是直接访问 VPN(其工作“透明”,不需要执行客户端程序)以及离线域加入将客户端引导到域中并使用 DirectAccess 获取它们。DirectAccess 是基于 IPSEC 的(IPv6 通过不受信任的 IPv4 或 IPv6 网络通过隧道传输到受信任的 LAN),因此您也可以使用此方法获得网络层加密和身份验证。
答案2
您可以加载 VPN 软件并让它们在加入域之前建立 VPN 连接。
答案3
除了通过端口阻止之外,没有其他方法可以强制使用 LDAPS 而不是 LDAP。不过,Ldaps 并不是您真正需要的解决方案。我不相信域加入(使用 Windows XP+ 工作站)使用简单的绑定进行连接。
重要的是要记住,只有 LDAP 数据传输是公开的。使用 Kerberos、SASL 甚至 NTLM 的其他身份验证或授权数据都有自己的加密系统。因此,您实际上并没有泄露您的加入帐户和密码。
如果你需要以下文章解释了如何在 Windows 域中配置 LDAPS,但实际上只有在第三方 AD 访问时才需要它。
答案4
这需要在网络层解决。正如 uslackr 所建议的,您可以使用 VPN 来创建安全的网络连接。
LDAP 只是可能需要的众多协议之一,如果试图在操作系统级别修复这个问题,将会造成很大麻烦。
LDAP tcp/389 udp/389
LDAP for Global Catalog tcp/3268
NetBIOS (if used) 137, 138, 139
CIFS tcp/445 udp/445
LDAPS tcp/636
LDAPS for Global Catalog tcp/3269
NTP tcp/123
RPC Dynamic (all ports above 49152 in Windows 7, or above 1024 in Windows 2003)
RPC Endpoint Mapper tcp/135
DNS tcp/53 udp/53
Kerberos tcp/88 (may also need udp/88 if not forcing kerberos over tcp)