我正在运行 AD LDS 目录,并且自从配置它以来,我一直看到2887 警告消息,因此我决定按照本指南让服务器需要 LDAP 签名。
问题是即使为服务器和客户端启用了“需要签名”,我也会收到那些烦人的警告。这是警告消息的内容:
在前 24 小时期间,一些客户端尝试执行以下 LDAP 绑定:(1) 未请求签名的 SASL(协商、Kerberos、NTLM 或摘要)LDAP 绑定(完整性验证),或 (2)在明文(非 SSL/TLS 加密)连接上执行的 LDAP 简单绑定
此目录服务器当前未配置为拒绝此类绑定。通过将服务器配置为拒绝此类绑定,可以显着增强此目录服务器的安全性。有关如何对服务器进行此配置更改的更多详细信息和信息,请参阅http://go.microsoft.com/fwlink/?LinkID=87923。
现在,即使一切设置正确,除了忽略它们之外,我应该怎么做才能停止接收这些警告?
对于 LDS,GPO 可能不起作用,因为它针对域控制器而不是轻量级目录服务 (LDS/ADAM)。
在您的一台 LDS 服务器上尝试以下注册表项:
如果这按预期工作(您可能必须重新启动 LDS 实例),您可以创建一个GPO,其中包含这些注册表项。
如果您想知道未签名的客户端连接来自何处,您可以尝试通过设置注册表项
HKLM\SYSTEM\CurrentControlSet\services\ALDSInstanceName\Diagnostics\16 LDAP Interface Events = DWORD (0x1)或最多 0x5 来启用 LDAP 接口诊断日志记录