我正在运行一个AD LDS目录,并且自configuration完成后,我一直在看到2887条警告消息,所以我决定遵循本指南让服务器需要LDAP签名。
问题是,即使为服务器和客户端启用了“需要签名”,我也会收到那些烦人的警告。 这是警告信息的内容:
在过去的24小时内,某些客户端试图执行LDAP绑定,这些绑定可能是:(1)SASL(协商,Kerberos,NTLM或摘要)LDAP绑定,没有请求签名(完整性validation),或(2)A在简单文本(非SSL / TLSencryption)连接上执行的LDAP简单绑定
该目录服务器当前未configuration为拒绝此类绑定。 通过将服务器configuration为拒绝这种绑定,可以显着增强此目录服务器的安全性。 有关如何将此configuration更改为服务器的更多详细信息和信息,请参阅http://go.microsoft.com/fwlink/?LinkID=87923 。
现在,即使一切设置正确,我应该怎样做才能停止接受这些警告,除了忽略它们呢?
对于LDS,GPO可能无法正常工作,因为它以域控制器而不是轻量目录服务(LDS / ADAM)为目标。
在其中一台LDS服务器上尝试以下registry项:
HKLM\SYSTEM\CurrentControlSet\Services\LDSInstanceName\Parameters\LDAPServerIntegrity = DWORD (0x2) HKLM\SYSTEM\CurrentControlSet\Services\ldap\Parameters\ldapclientintegrity = DWORD (0x2) 如果按预期工作(您可能需要重新启动LDS实例),则可以使用这些registry项创build一个GPO 。
如果您想知道哪些客户端连接来自哪些未签名,可以尝试通过设置registry项HKLM\SYSTEM\CurrentControlSet\services\ALDSInstanceName\Diagnostics\16 LDAP Interface Events = DWORD (0x1)来启用LDAP界面诊断日志loggingHKLM\SYSTEM\CurrentControlSet\services\ALDSInstanceName\Diagnostics\16 LDAP Interface Events = DWORD (0x1)或高达0x5