在我的 Windows 域中,所有身份验证均使用 Kerberos。据我了解,域控制器使用 RPC 进行复制和身份验证。LDAP 是否用于其他用途?我是否应该关闭所有服务器和客户端上未使用的 389 LDAP 端口?
Active Directory 是否使用 LDAP 进行授权、查找等?
答案1
不,您不应该这样做。LDAP 是 Active Directory 中许多进程的基础。例如:
- 当您在客户端上执行交互式登录时,客户端会执行一系列 DNS 查找以确定最佳域控制器,然后对 tcp/389 执行一系列测试。
- 使用 tcp/389 上的 LDAP 将 Active Directory 模式下载到客户端。
- 组策略客户端使用 LDAP 来检索存储在 Active Directory 中的策略信息组件。
- 许多命令行工具和系统集成管理工具使用 LDAP(Active Directory 用户和计算机、Active Directory 站点和服务等)。
- 大量其他东西。
执行网络数据包捕获来确认这一点相当容易。
听起来你可能把 NTLM 与 Kerberos 混淆了。虽然如果无法进行 Kerberos 身份验证,客户端会尝试回退到 NTLM/2,但可以使用 Kerberos 代替 NTLM/2。
此外,如果您在域控制器上安装了证书,则无法仅使用 LDAPS tcp/636 代替 tcp/389。这不会带来任何有用的好处,因为 LDAPS 主要用于使用简单绑定(用户名+密码)进行身份验证的应用程序。