我正在运行 AD LDS 目录,自从配置它以来,我一直看到2887 警告消息,所以我决定关注本指南让服务器需要 LDAP 签名。
问题是,即使启用了“需要签名”,我也会收到那些烦人的警告,无论是服务器还是客户端。这是警告消息的内容:
在过去 24 小时内,某些客户端尝试执行以下 LDAP 绑定:(1) 未请求签名(完整性验证)的 SASL(协商、Kerberos、NTLM 或摘要)LDAP 绑定,或 (2) 在明文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定
此目录服务器当前未配置为拒绝此类绑定。通过配置服务器以拒绝此类绑定,可以显著增强此目录服务器的安全性。有关如何对服务器进行此配置更改的更多详细信息和信息,请参阅http://go.microsoft.com/fwlink/?LinkID=87923。
现在,即使一切都设置正确,除了忽略这些警告之外,我还应该做些什么来停止接收这些警告?
答案1
对于 LDS,GPO 可能不起作用,因为它针对的是域控制器,而不是轻量级目录服务 (LDS/ADAM)。
请在您的其中一台 LDS 服务器上尝试以下注册表项:
HKLM\SYSTEM\CurrentControlSet\Services\LDSInstanceName\Parameters\LDAPServerIntegrity = DWORD (0x2)
HKLM\SYSTEM\CurrentControlSet\Services\ldap\Parameters\ldapclientintegrity = DWORD (0x2)
如果一切按预期进行(您可能需要重新启动 LDS 实例),您可以创建一个具有这些注册表项的 GPO在他们中。
如果你想知道未经签名的客户端连接来自哪里,你可以尝试通过设置注册表项来启用 LDAP 接口诊断日志记录HKLM\SYSTEM\CurrentControlSet\services\ALDSInstanceName\Diagnostics\16 LDAP Interface Events = DWORD (0x1),或最多 0x5