我们已经在域控制器上应用了 LDAP SSL 安全提升补丁,并将条目设置LdapEnforceChannelBinding
为 2(强制对不安全的连接进行硬失败),但我的所有尝试都成功了,这让我相信补丁没有正确应用,或者注册表设置没有到正确的位置。
有人可以提供一个脚本或程序,让我们可以指向我们的 LDAP 服务器,明确地说出这种缓解措施是否到位并且有效吗?
注意:在 Stack Overflow 上看到有关 LDAP 的类似帖子后,我将这个问题发布到了那里,但后来我考虑了一下,认为 Server Fault 更适合回答这个问题。
答案1
如果您无法使用 LDAP 浏览器连接,这是一个好兆头。
如果尝试对 tcp/389 进行基本身份验证并被拒绝,则每 24 小时将在目录服务事件日志中记录一次事件 ID 为 2888 的事件以进行汇总。因此您的 LDAP 浏览器失败尝试应该记录在那里。
不过,获取有关应用程序的更多信息可能是一个好主意。我不认为它正在使用基本身份验证。