joedevlin
Goto Top

LDAP Channel Binding

Hallo,

ich erhalte auf meinen DCs (Windows Server 2016, aktuellster Patchstand) in regelmäßigen Abständen die folgenden beiden Meldungen:

---
Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.

Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---
In den letzten 24 Stunden wurden 12 ungeschützte LDAPS-Bindungen durchgeführt.

Dieser Verzeichnisserver ist derzeit nicht konfiguriert, um die Validierung von Kanalbindungstoken durchzusetzen. Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert, wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.

Weitere Einzelheiten und Informationen darüber, wie diese Konfigurationsänderung am Server vorgenommen werden kann, finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.
---

Wir haben im Hinblick auf LDAP nichts besonderes konfiguriert, so dass die Standardeinstellung der folgenden GPO gelten sollte:

Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken -> Nicht definiert (Standard: Wenn unterstützt)

Ich verstehe den jeweils letzten Satz aus den beiden EA-Meldungen nun so, dass die Option "Wenn unterstützt" konfiguriert werden sollte, wenn schon nicht erzwungen. Dies aber ja bereits im Standard so konfiguriert, oder übersehe ich hier etwas?

Vielleicht kann ja jemand Licht ins Dunkle bringen!? face-smile

Content-ID: 3009900577

Url: https://administrator.de/forum/ldap-channel-binding-3009900577.html

Ausgedruckt am: 25.12.2024 um 17:12 Uhr

JoeDevlin
JoeDevlin 08.06.2022 um 21:32:27 Uhr
Goto Top
Hmm, vielleicht mal losgelöst von meiner Frage… wie habt ihr die Richtlinien für LDAP auf euren DCs konfiguriert?