Active Directory auf sichere Verbindungen umstellen

by Robert Popken | Posted on

Zur Absicherung der Kommunikation zwischen Clients und dem Active Directory Domain Service kann die Verbindung per SSL/TLS verstärkt werden.

Die Einstellung dafür ist auf jedem Domain Controller einzeln einzurichten.

Über den Registrierungseditor sind die beiden folgenden Schlüssel auf den Wert “2” zu setzen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\ldapclientintegrity

Die Änderung ist ohne Neustart sofort wirksam.

Zur Überprüfung ist das Tool “ldp.exe” zu starten.

Über “Connection/Connect” ist die Verbindung zur Domain zu öfnen, dabei ist der zu testende Domain Conroller mit dem Standard Port (389) anzugeben.
Nun ist über “Connection/Bind” die Verbindung zu etablieren, dabei ist die Option “Simple Bind” unter Angabe der Anmeldedaten zu wählen. Bei erfolgreicher Konfiguration sollte die folgende Meldung erscheinen:

Ldap_simple_bind_s() failed: Strong Authentication Required

Alternativ lässt sich diese Einstellung auch per Group Policy einrichten.

Dazu ist im Group Policy Management Editor eine Policy an die OU der betroffenen Systeme zu hängen.In der Policy ist unter “Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options/Domain controller: LDAP server signing requirements” in dem “Define this policy settings”-Dropdown “Require signing”

Konfiguration des Diagnose-Logs:

Im Registry-Editor unter HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics sind die folgenden Diagnose-Optionen separat zu konfigurieren:

1 Knowledge Consistency Checker (KCC)
2 Security Events
3 ExDS Interface Events
4 MAPI Interface Events
5 Replication Events
6 Garbage Collection
7 Internal Configuration
8 Directory Access
9 Internal Processing
10 Performance Counters
11 Initialization/Termination
12 Service Control
13 Name Resolution
14 Backup
15 Field Engineering
16 LDAP Interface Events
17 Setup
18 Global Catalog
19 Inter-site Messaging
20 Group Caching
21 Linked-Value Replication
22 DS RPC Client
23 DS RPC Server
24 DS Schema

Die folgenden Logging-Detailstufen sind möglich:

0 (None): Nur kritische Ereignisse und Fehler werden geloggt. (Default)
1 (Minimal)
2 (Basic)
3 (Extensive)
4 (Verbose)
5 (Internal:): Alle Ereignisse werden auf höchster Detailstufe geloggt. (Achtung: die Log-Datei kann schnell stark anwachsen)

Related Posts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert