none
Windows Server 2008 Active Directory RRS feed

  • Frage

  • Hallo,

    Ich habe jetzt meine ersten Server zum lernen auf 2008 basis (64 bit) aufgesetzt und habe Active Directory eingerichtet.

    Und jetzt erscheint mich immerwieder diese Meldung (unter angeführt). Kann mir jemand erklären wie ich das beheben kann?

    Bitte um eine ganz genaue Erklärung.

    Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass  SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und  einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients  derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
     
    Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung  ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients  protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger  Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst  über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
     
    Weitere Einzelheiten und Informationen dazu, wie Sie diese Konfigurationsänderung auf dem Server vornehmen, finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".
     
    Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

     

    • Typ geändert GNIRING Dienstag, 10. August 2010 15:24
    Dienstag, 10. August 2010 15:22

Antworten

  • Hi,

    Am 10.08.2010 17:22, schrieb IT Undertaker:

    Bitte um eine ganz genaue Erklärung.

    Nein, Schulung findet hier nicht statt. Du bist in einem Forum,
    keinem Workshop.

    [...] Sie können die Sicherheit dieses Verzeichnisservers deutlich
    verbessern, indem Sie den Server so konfigurieren, dass
    SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest),
    LDAP-Bindung [...]

    Erstelle ein Serverzertifikat, zB im IIS und danach können die
    aktuellen "Klartext" LDAP verbindungen verschlüsselt übers Kabel
    gesendet werden, wenn die Clients und DCs entpsrechend konfiguriert
    sind (siehe Link)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 10. August 2010 16:28

Alle Antworten

  • Hi,

    Am 10.08.2010 17:22, schrieb IT Undertaker:

    Bitte um eine ganz genaue Erklärung.

    Nein, Schulung findet hier nicht statt. Du bist in einem Forum,
    keinem Workshop.

    [...] Sie können die Sicherheit dieses Verzeichnisservers deutlich
    verbessern, indem Sie den Server so konfigurieren, dass
    SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest),
    LDAP-Bindung [...]

    Erstelle ein Serverzertifikat, zB im IIS und danach können die
    aktuellen "Klartext" LDAP verbindungen verschlüsselt übers Kabel
    gesendet werden, wenn die Clients und DCs entpsrechend konfiguriert
    sind (siehe Link)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 10. August 2010 16:28
  • Meinst du ich muss bei Serverrollen Active Directory-Zertifikatdienste installiere, ein Zertifikat erstellen und dann das Ausführen was in dem Link steht.

    Dienstag, 17. August 2010 16:35
  • Hi

    Am 17.08.2010 18:35, schrieb IT Undertaker:

    Meinst du ich muss bei Serverrollen Active
    Directory-Zertifikatdienste installiere, ein Zertifikat erstellen und
    dann das Ausführen was in dem Link steht.

    Nein, Ja.
    Nein, Du kannst auch ein Selbssigniertes Zertitifikat mit dem IIS
    erstellen, ohne gleich eine komplette PKI aufzubauen und Ja, dann kannst
    du das im Link machen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 17. August 2010 17:03
  • aha

    kannst du mir nur kurz beschreiben wie ich zum zertifikat erstellen beim IIS komme.

    z.B

    Startmenü\Verwaltung\Servermanager

    Dienstag, 17. August 2010 20:57
  • Hi,

    Am 17.08.2010 22:57, schrieb IT Undertaker:

    kannst du mir nur kurz beschreiben wie ich zum zertifikat erstellen beim IIS komme.

    Kann gerade nicht abkucken, aber öffne die IIS Verwaltung,
    wähle/markiere den Server aus, dann findest du auf der rechten Seite
    weit unten "Serverzertifikate". Dann hast du auf der rechten Seite
    im Aktion Menü der MMC 3.0 die Möglichkeit ein Zertifikat zu erstellen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 18. August 2010 09:40
  • danke
    Mittwoch, 18. August 2010 17:05
  • ich hab noch mal eine frage.

    bei Erstellen eines Zertifikat unter IIS muss ich da ein selbst Signirendes Zertifikat nehmen oder was anderes?

    Sonntag, 29. August 2010 13:00
  • Hi,

    Am 29.08.2010 15:00, schrieb IT Undertaker:

    bei Erstellen eines Zertifikat unter IIS muss ich da ein selbst
    Signirendes Zertifikat nehmen oder was anderes?

    Hast du eine eigene PKI/Zertifizierungsstelle?
    Dann kannst du es direkt "einreichen", hast du keine zentrale
    Stelle muss der Rechner es sich selbst ausstellen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Sonntag, 29. August 2010 16:02
  • danke
    Sonntag, 29. August 2010 18:02