home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server &Client Machines

การลงนาม LDAP เป็นวิธีการรับรองความถูกต้องใน Windows Server ที่สามารถปรับปรุงความปลอดภัยของไดเร็กทอรีเซิร์ฟเวอร์ เมื่อเปิดใช้งานแล้ว จะปฏิเสธคำขอใดๆ ที่ไม่ขอลงนาม หรือหากคำขอนั้นใช้การเข้ารหัสที่ไม่ใช่ SSL/TLS ในโพสต์นี้ เราจะแบ่งปันวิธีที่คุณสามารถเปิดใช้งานการลงชื่อเข้าใช้ LDAP ใน Windows Server และเครื่องไคลเอนต์ LDAP ย่อมาจาก  Lightweight Directory Access Protocol (LDAP)

วิธีเปิดใช้งานการลงชื่อ LDAP ในคอมพิวเตอร์ Windows

เพื่อให้แน่ใจว่าผู้โจมตีไม่ได้ใช้ไคลเอ็นต์ LDAP ที่ปลอมแปลงเพื่อเปลี่ยนการกำหนดค่าและข้อมูลของเซิร์ฟเวอร์ จำเป็นต้องเปิดใช้งานการลงนาม LDAP การเปิดใช้งานบนเครื่องไคลเอ็นต์มีความสำคัญเท่าเทียมกัน

  1. ตั้งค่าข้อกำหนดในการลงชื่อ LDAP ของเซิร์ฟเวอร์
  2. ตั้งค่าข้อกำหนดในการเซ็นชื่อ LDAP ของไคลเอ็นต์โดยใช้นโยบายคอมพิวเตอร์เฉพาะที่
  3. ตั้งค่าข้อกำหนดในการเซ็นชื่อ LDAP ของไคลเอ็นต์โดยใช้ Domain Group Policy Object
  4. ตั้งค่าข้อกำหนดในการลงชื่อ LDAP ของไคลเอ็นต์โดยใช้คีย์รีจิสทรี
  5. วิธีตรวจสอบการเปลี่ยนแปลงการกำหนดค่า
  6. วิธีค้นหาลูกค้าที่ไม่ใช้ตัวเลือก "ต้องลงนาม"

ส่วนสุดท้ายช่วยให้คุณค้นหาลูกค้าที่ไม่จำเป็นต้องเปิดใช้งานการลงชื่อ บนคอมพิวเตอร์. เป็นเครื่องมือที่มีประโยชน์สำหรับผู้ดูแลระบบไอทีในการแยกคอมพิวเตอร์เหล่านั้นออก และเปิดใช้งานการตั้งค่าความปลอดภัยในคอมพิวเตอร์

1] ตั้งค่าข้อกำหนดในการลงชื่อ LDAP ของเซิร์ฟเวอร์

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server &Client Machines

  1. เปิด Microsoft Management Console (mmc.exe)
  2. เลือก ไฟล์ > เพิ่ม/ลบสแนปอิน> เลือก ตัวแก้ไขออบเจ็กต์นโยบายกลุ่ม จากนั้นเลือก เพิ่ม
  3. จะเปิดตัวช่วยสร้างนโยบายกลุ่มขึ้นมา คลิกปุ่มเรียกดู แล้วเลือก นโยบายโดเมนเริ่มต้น แทน Local Computer
  4. คลิกที่ปุ่ม OK จากนั้นคลิกที่ปุ่ม Finish แล้วปิด
  5. เลือก นโยบายโดเมนเริ่มต้น > การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น จากนั้นเลือก ตัวเลือกความปลอดภัย
  6. คลิกขวา ตัวควบคุมโดเมน:ข้อกำหนดการลงชื่อเซิร์ฟเวอร์ LDAP จากนั้นเลือกคุณสมบัติ
  7. ในตัวควบคุมโดเมน:กล่องโต้ตอบคุณสมบัติข้อกำหนดการลงชื่อของเซิร์ฟเวอร์ LDAP เปิดใช้งาน กำหนดการตั้งค่านโยบายนี้ เลือก ต้องลงชื่อเข้าใช้ในรายการการตั้งค่า กำหนดนโยบายนี้ แล้วเลือก ตกลง
  8. ตรวจสอบการตั้งค่าอีกครั้งและนำไปใช้

2] ตั้งค่าข้อกำหนดในการลงนาม LDAP ของไคลเอ็นต์โดยใช้นโยบายคอมพิวเตอร์ในพื้นที่

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server &Client Machines

  1. เปิดหน้าต่าง Run แล้วพิมพ์ gpedit.msc แล้วกดปุ่ม Enter
  2. ในตัวแก้ไขนโยบายกลุ่ม ให้ไปที่ Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies แล้วเลือก ตัวเลือกความปลอดภัย
  3. คลิกขวาที่ ความปลอดภัยของเครือข่าย:ข้อกำหนดการลงชื่อไคลเอ็นต์ LDAP จากนั้นเลือกคุณสมบัติ
  4. ในกล่องโต้ตอบคุณสมบัติการรักษาความปลอดภัยเครือข่าย:ข้อกำหนดการลงชื่อไคลเอ็นต์ LDAP ให้เลือก ต้องมีการลงชื่อ ในรายการแล้วเลือก ตกลง
  5. ยืนยันการเปลี่ยนแปลงและนำไปใช้

3] ตั้งค่าข้อกำหนดในการลงนาม LDAP ของไคลเอ็นต์โดยใช้วัตถุนโยบายกลุ่มของโดเมน

  1. เปิด Microsoft Management Console (mmc.exe)
  2. เลือก ไฟล์เพิ่ม/ลบสแนปอิน> เลือก ตัวแก้ไขวัตถุนโยบายกลุ่ม จากนั้นเลือก เพิ่ม .
  3. จะเปิดตัวช่วยสร้างนโยบายกลุ่มขึ้นมา คลิกปุ่มเรียกดู แล้วเลือก นโยบายโดเมนเริ่มต้น แทน Local Computer
  4. คลิกที่ปุ่ม OK จากนั้นคลิกที่ปุ่ม Finish แล้วปิด
  5. เลือก นโยบายโดเมนเริ่มต้นการกำหนดค่าคอมพิวเตอร์การตั้งค่า Windowsการตั้งค่าความปลอดภัยนโยบายท้องถิ่น จากนั้นเลือก ตัวเลือกความปลอดภัย .
  6. ใน ความปลอดภัยของเครือข่าย:คุณสมบัติการลงชื่อไคลเอ็นต์ LDAP  กล่องโต้ตอบ เลือก ต้องลงนาม  ในรายการแล้วเลือก ตกลง .
  7. ยืนยันการเปลี่ยนแปลงและใช้การตั้งค่า

4] ตั้งค่าข้อกำหนดในการเซ็นชื่อ LDAP ของไคลเอ็นต์โดยใช้รีจิสตรีคีย์

สิ่งแรกและสำคัญที่สุดที่ต้องทำคือสำรองข้อมูลรีจิสทรีของคุณ

  • เปิด Registry Editor
  • นำทางไปยัง HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ \Parameters
  • คลิกขวาบนบานหน้าต่างด้านขวา และสร้าง DWORD ใหม่โดยใช้ชื่อ LDAPServerIntegrity
  • ปล่อยให้เป็นค่าเริ่มต้น

>:ชื่อของอินสแตนซ์ AD LDS ที่คุณต้องการเปลี่ยน

5] วิธีตรวจสอบว่าการเปลี่ยนแปลงการกำหนดค่าจำเป็นต้องลงชื่อเข้าใช้หรือไม่

เพื่อให้แน่ใจว่านโยบายความปลอดภัยใช้งานได้ นี่คือวิธีตรวจสอบความสมบูรณ์ของนโยบาย

  1. ลงชื่อเข้าใช้คอมพิวเตอร์ที่ติดตั้ง AD DS Admin Tools
  2. เปิดหน้าต่าง Run แล้วพิมพ์ ldp.exe แล้วกดปุ่ม Enter เป็น UI ที่ใช้สำหรับการนำทางผ่านเนมสเปซ Active Directory
  3. เลือก การเชื่อมต่อ > เชื่อมต่อ
  4. ในเซิร์ฟเวอร์และพอร์ต ให้พิมพ์ชื่อเซิร์ฟเวอร์และพอร์ตที่ไม่ใช่ SSL/TLS ของเซิร์ฟเวอร์ไดเรกทอรีของคุณ จากนั้นเลือก ตกลง
  5. หลังจากสร้างการเชื่อมต่อแล้ว ให้เลือก Connection > Bind.
  6. ภายใต้ประเภทการผูก ให้เลือกการผูกแบบง่าย
  7. พิมพ์ชื่อผู้ใช้และรหัสผ่าน จากนั้นเลือก ตกลง

หากคุณได้รับข้อความแสดงข้อผิดพลาดว่า  Ldap_simple_bind_s() failed:Strong Authentication Required แสดงว่าคุณกำหนดค่าไดเร็กทอรีเซิร์ฟเวอร์ของคุณสำเร็จแล้ว

6] วิธีค้นหาลูกค้าที่ไม่ใช้ตัวเลือก “ต้องมีการลงนาม”

ทุกครั้งที่เครื่องไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลการเชื่อมต่อที่ไม่ปลอดภัย เครื่องจะสร้าง Event ID 2889  รายการบันทึกจะมีที่อยู่ IP ของไคลเอ็นต์ด้วย คุณจะต้องเปิดใช้งานสิ่งนี้โดยตั้งค่า 16  เหตุการณ์อินเทอร์เฟซ LDAP การตั้งค่าการวินิจฉัยเป็น 2 (พื้นฐาน) เรียนรู้วิธีกำหนดค่าการบันทึกเหตุการณ์การวินิจฉัย AD และ LDS ที่นี่ที่ Microsoft

การลงนาม LDAP มีความสำคัญ และฉันหวังว่าจะสามารถช่วยให้คุณเข้าใจอย่างชัดเจนถึงวิธีการเปิดใช้งานการลงชื่อเข้าใช้ LDAP ใน Windows Server และบนเครื่องไคลเอนต์

วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server &Client Machines