none
podepisování LDAP

    Dotaz

  • Dobrý den, AD mi na win2008 R2 hlasí varování event id 2887 podepisování LDAP.  Jak mám zvýšit úroveň na 2 a vyšší, resp kde se danou úroveň dozvím?

    Díky MK

    19. března 2012 7:20

Odpovědi

  • Ahoj,

    tady je návod jak zapnout podepisování.

    Postupuj přesně podle něj - tedy že si nejdříve zjistíš, jestli nějací klienti by nemohli mít problémy, atd atd.

    http://technet.microsoft.com/en-us/library/dd941856(v=ws.10).aspx


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    19. března 2012 7:30
  • Ahoj,

    no pokud je ten disk integrovaný do domény, tak nejspíše jede na linuxu a nějaké staré sambě a tudíž by jsi mu tímto prakticky zabránil přístup do sítě.

    Jinak pokud to nezapneš, tak nejsi nijak závažně ohrožen a pokud ten disk potřebujete, tak bych to neřešil.


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    20. března 2012 15:00
  • Ahoj,

    zvyšuješ tím jenom zabezpečení AD, přihlášení není pak chytatelný na síti.

    V případě, že se rozhodneš pro nastavení LDAPS, postupuj podle návodu co psal Jiří Janata a velmi doporučuji tento tool až budeš tohle nastavení debuggovat, ušetří ti hodně nervů.

     http://www.novell.com/coolsolutions/tools/18415.html  

    VJ

    21. března 2012 8:17

Všechny reakce

  • Ahoj,

    tady je návod jak zapnout podepisování.

    Postupuj přesně podle něj - tedy že si nejdříve zjistíš, jestli nějací klienti by nemohli mít problémy, atd atd.

    http://technet.microsoft.com/en-us/library/dd941856(v=ws.10).aspx


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    19. března 2012 7:30
  • Zdravím, spustil jsem tedy logování event id 2889. 

    Ale ještě než provedu nějaké změny, existují nějaká úskalí nebo problémy s podepisováním LDAP, na která si dát pozor? Resp. jaká je daň za vyšší bezpečnost?

    Díky MK

     
    19. března 2012 7:53
  • No prakticky je to bez problémů. Jakmile máš třeba všechny stanice na Windows 7, tak to můžeš zapnout rovnou...
    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    19. března 2012 8:20
  • Aha, tak W7 na všech stanicích zatím nehrozí. Prohlížel jsem log active diectory a žádná událost id 2889 nenalezena. Pouze cca jednou za dva dny event id 2887. 

    MK

    19. března 2012 13:20
  • V tom případě bych se to nebál zapnout. Oni i XP by to měly umět.
    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    19. března 2012 13:37
  • Takže událost id 2889 hlásí pouze připojování externího síťového disku.

    Následující klient vytvořil vazbu LDAP SASL (Negotiate, Kerberos, NTLM nebo Digest) bez žádosti o podepsání (ověření integrity) nebo vytvořil jednoduchou vazbu přes připojení LDAP s nešifrovaným textem (bez šifrování SSL nebo TLS). 
     
    Tzn. že externí disk nebude umět podepisování LDAP?

    Díky MK

    20. března 2012 7:54
  • Ahoj,

    no pokud je ten disk integrovaný do domény, tak nejspíše jede na linuxu a nějaké staré sambě a tudíž by jsi mu tímto prakticky zabránil přístup do sítě.

    Jinak pokud to nezapneš, tak nejsi nijak závažně ohrožen a pokud ten disk potřebujete, tak bych to neřešil.


    This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

    Microsoft Student Partner 2010 / 2011 / 2012
    Microsoft Certified Professional |Connected Home Integrator |Consumer Sales Specialist
    Microsoft Certified IT Professional: Consumer Support Technician on Windows Vista
    Microsoft Certified IT Professional: Enterprise Support Technician on Windows Vista
    Microsoft Certified IT Professional: Server Administrator on Windows Server 2008
    Microsoft Certified Technology Specialist:
    Windows 7, Configuration |Microsoft Windows Vista, Configuration
    Pre-Installing Windows 7 for OEMs |Windows 7 and Office 2010, Deployment |Windows Vista and Server Operating Systems, Preinstallation
    Windows Server 2008 AD, Conf |Windows Server 2008 Network Infrastructure, Conf |Windows Server 2008 Apps Infrastructure, Conf
    Windows Server 2008 R2, Server Virtualization |Windows Server Virtualization, Configuration |Microsoft Lync Server 2010, Configuring
    Windows SBS 2011, Configuring |Windows EBS 2008, Configuration |Windows SBS 2008, Configuration
    Windows HPC Server 2008, Development |Windows Internals |MDOP, Configuration |SharePoint 2010, Configuration
    Microsoft SCOM, Configuration |Microsoft SCDPM 2007, Configuration |Microsoft SCVMM 2008, Configuration

    20. března 2012 15:00
  • Ahoj,

    zvyšuješ tím jenom zabezpečení AD, přihlášení není pak chytatelný na síti.

    V případě, že se rozhodneš pro nastavení LDAPS, postupuj podle návodu co psal Jiří Janata a velmi doporučuji tento tool až budeš tohle nastavení debuggovat, ušetří ti hodně nervů.

     http://www.novell.com/coolsolutions/tools/18415.html  

    VJ

    21. března 2012 8:17