วิธีเปิดใช้งานการลงชื่อ LDAP ใน Windows Server & Client Machines
การลงนาม LDAP(LDAP signing)คือวิธีการตรวจสอบสิทธิ์ในWindows Serverที่สามารถปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ไดเรกทอรีได้ เมื่อเปิดใช้งานแล้ว จะปฏิเสธคำขอใดๆ ที่ไม่ขอลงนาม หรือหากคำขอนั้นใช้การเข้ารหัสที่ไม่ใช่ SSL/TLS ในโพสต์นี้ เราจะแบ่งปันวิธีที่คุณสามารถเปิดใช้งานการลงชื่อเข้า ใช้ LDAP ใน (LDAP)Windows Serverและเครื่องไคลเอนต์ LDAPย่อมาจาก Lightweight Directory Access Protocol (LDAP)
วิธีเปิดใช้ งาน การลงชื่อLDAP ใน คอมพิวเตอร์Windows
เพื่อให้แน่ใจว่าผู้โจมตีไม่ได้ใช้ไคลเอ็นต์LDAP ที่ปลอมแปลงเพื่อเปลี่ยนการกำหนดค่าและข้อมูลของเซิร์ฟเวอร์ การเปิดใช้งานการ ลงนามLDAP จึงเป็นสิ่งสำคัญ (LDAP)การเปิดใช้งานบนเครื่องไคลเอ็นต์มีความสำคัญเท่าเทียมกัน
- ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของเซิร์ฟเวอร์
- ตั้งค่า(Set)ข้อกำหนดในการเซ็นชื่อLDAPของไคลเอ็นต์ โดยใช้ Local computer policy
- ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้ Domain Group Policy Object
- ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้ คีย์รีจิสทรี(Registry)
- วิธีตรวจสอบการเปลี่ยนแปลงการกำหนดค่า
- วิธีค้นหาลูกค้าที่ไม่ใช้ตัวเลือก “ ต้อง(Require) มี การลงชื่อ”
ส่วนสุดท้ายช่วยให้คุณค้นหาไคลเอ็นต์ที่ไม่ต้องเปิดใช้งานการลงชื่อ(do not have Require signing enabled)บนคอมพิวเตอร์ เป็นเครื่องมือที่มีประโยชน์สำหรับผู้ดูแลระบบไอทีในการแยกคอมพิวเตอร์เหล่านั้นออก และเปิดใช้งานการตั้งค่าความปลอดภัยบนคอมพิวเตอร์
1] ตั้งค่า(Set)ข้อกำหนดการลงชื่อของเซิร์ฟเวอร์LDAP
- เปิดMicrosoft Management Console (mmc.exe)
- เลือก File > Add /Remove Snap-in > เลือก Group Policy Object Editorจากนั้นเลือก Add
- มันจะเปิดตัวช่วยสร้างนโยบาย(Group Policy Wizard)กลุ่ม คลิก(Click)ที่ ปุ่ม Browseและเลือก Default Domain Policyแทน Local Computer
- คลิก(Click)ที่ปุ่ม ตกลง จากนั้นบน ปุ่ม เสร็จสิ้น(Finish)แล้วปิด
- เลือก Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policiesแล้วเลือกตัวเลือกความปลอดภัย
- คลิกขวาที่ ตัวควบคุมโดเมน: ข้อกำหนดการลงชื่อเซิร์ฟเวอร์ LDAP(Domain controller: LDAP server signing requirements)จากนั้นเลือกคุณสมบัติ
- ใน กล่องโต้ตอบ คุณสมบัติ(Properties)การลงนามของเซิร์ฟเวอร์LDAPตัวควบคุมโดเมน : คุณสมบัติ เปิดใช้งาน (Domain)กำหนดการ(Define)ตั้งค่านโยบายนี้ เลือก ต้องการการลงชื่อในรายการการตั้งค่ากำหนดนโยบายนี้(Require signing in the Define this policy setting list,)แล้วเลือกตกลง
- ตรวจสอบการตั้งค่าอีกครั้งและนำไปใช้
2] ตั้งค่า(Set)ข้อกำหนดการลงชื่อLDAPของไคลเอ็นต์ โดยใช้นโยบายคอมพิวเตอร์ท้องถิ่น
- เปิด พรอมต์ เรียกใช้(Run)แล้วพิมพ์ gpedit.msc แล้วกดปุ่มEnter
- ในตัวแก้ไขนโยบายกลุ่ม ไปที่ Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policiesจากนั้นเลือก Security Options
- คลิกขวาที่Network Security: LDAP Client Signing Requirementsจากนั้นเลือก Properties
- ใน กล่องโต้ตอบ Network security: LDAP Client Signing Terms Properties ให้เลือก Require sign(Require signing) in the list แล้วเลือก OK
- ยืนยันการเปลี่ยนแปลงและนำไปใช้
3] ตั้งค่า ข้อกำหนดการลงชื่อ (Set)LDAPของไคลเอ็นต์โดยใช้โดเมนGroup Policy Object
- เปิด Microsoft Management Console (mmc.exe)(Open Microsoft Management Console (mmc.exe))
- เลือก ไฟล์(File) > Add/Remove Snap-in > เลือก Group Policy Object Editorจากนั้นเลือก เพิ่ม(Add)
- มันจะเปิดตัวช่วยสร้างนโยบาย(Group Policy Wizard)กลุ่ม คลิก(Click)ที่ ปุ่ม Browseและเลือก Default Domain Policyแทน Local Computer
- คลิก(Click)ที่ปุ่ม ตกลง จากนั้นบน ปุ่ม เสร็จสิ้น(Finish)แล้วปิด
- เลือก นโยบายโดเมนเริ่มต้น(Default Domain Policy) > การ กำหนดค่าคอมพิวเตอร์(Computer Configuration) > การตั้งค่า Windows(Windows Settings) > การตั้งค่า ความปลอดภัย(Security Settings) > นโยบายภายใน(Local Policies)เครื่อง แล้วเลือก ตัวเลือกความปลอดภัย(Security Options)
- ใน กล่องโต้ตอบ Network security: LDAP Client Signing Terms Properties (Network security: LDAP client signing requirements Properties )เลือก Require sign (Require signing ) in the list แล้ว เลือกOK
- ยืนยัน(Confirm)การเปลี่ยนแปลงและใช้การตั้งค่า
4] ตั้งค่า ข้อกำหนดการลงชื่อ (Set)LDAPของไคลเอ็นต์โดยใช้คีย์รีจิสทรี
สิ่งแรกและสำคัญที่สุดที่ต้องทำคือสำรองข้อมูลรีจิสทรีของคุณ
- เปิดตัวแก้ไขรีจิสทรี
- ไปที่HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
- คลิก(Right-click)ขวาที่บานหน้าต่างด้านขวา และสร้างDWORD ใหม่ โดยใช้ชื่อLDAPServerIntegrity
- ปล่อยให้เป็นค่าเริ่มต้น
<InstanceName >: ชื่อของ อินสแตนซ์ AD LDSที่คุณต้องการเปลี่ยน
5] วิธี(How)ตรวจสอบว่าการเปลี่ยนแปลงการกำหนดค่าต้องลงชื่อเข้าใช้หรือไม่
เพื่อให้แน่ใจว่านโยบายความปลอดภัยใช้งานได้ นี่คือวิธีตรวจสอบความสมบูรณ์ของนโยบาย
- ลงชื่อเข้าใช้คอมพิวเตอร์ที่ติดตั้งAD DS Admin Tools
- เปิด พร้อมต์ เรียกใช้(Run)และพิมพ์ ldp.exe แล้วกดปุ่มEnter เป็น UI ที่ใช้สำหรับการนำทางผ่านเนมสเปซActive Directory
- เลือก การเชื่อมต่อ > เชื่อมต่อ
- ใน Server and Portให้พิมพ์ชื่อเซิร์ฟเวอร์และพอร์ตที่ไม่ใช่ SSL/TLS ของไดเร็กทอรีเซิร์ฟเวอร์ของคุณ จากนั้นเลือก ตกลง
- หลังจากสร้างการเชื่อมต่อแล้ว ให้เลือก การเชื่อมต่อ > ผูก
- ภายใต้ ชนิดการ ผูก(Bind)ให้เลือก การ ผูกแบบง่าย(Simple)
- พิมพ์ชื่อผู้ใช้และรหัสผ่าน จากนั้นเลือก ตกลง
หากคุณได้รับข้อความแสดงข้อผิดพลาดว่า Ldap_simple_bind_s() failed: Strong Authentication Requiredแสดงว่าคุณได้กำหนดค่าเซิร์ฟเวอร์ไดเรกทอรีของคุณสำเร็จแล้ว
6] วิธี(How)ค้นหาลูกค้าที่ไม่ได้ใช้ตัวเลือก " ต้อง(Require) มี การลงชื่อ"
ทุกครั้งที่เครื่องไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์โดยใช้โปรโตคอลการเชื่อมต่อที่ไม่ปลอดภัย เครื่องจะสร้างEvent ID 2889 (Event ID 2889)รายการบันทึกจะมีที่อยู่ IP ของไคลเอ็นต์ด้วย คุณจะต้องเปิดใช้งานสิ่งนี้โดยตั้งค่าการ วินิจฉัย 16 LDAP Interface Events ให้เป็น (LDAP Interface Events)2 (พื้นฐาน) (2 (Basic). )เรียนรู้วิธีกำหนดค่า การบันทึกเหตุการณ์การวินิจฉัยAD และLDS ที่นี่ ที่Microsoft(here at Microsoft)
การ ลงนาม LDAP(LDAP Signing)มีความสำคัญ และฉันหวังว่าจะสามารถช่วยให้คุณเข้าใจอย่างชัดเจนถึงวิธีการเปิดใช้ งาน การลงชื่อเข้า ใช้ LDAP ใน (LDAP)Windows Serverและบนเครื่องไคลเอนต์
Related posts
กำหนดค่า Remote Access Client Account Lockout ใน Windows Server
ปิดใช้งานหุ้นธุรการจาก Windows Server
Iperius Backup: ฟรีแวร์เพื่อสำรองข้อมูลอัตโนมัติใน Windows 10
วิธีการบีบอัด Bloated Registry ลมพิษใน Windows Server
วิธีการ Enable & Configure DNS Aging & Scavenging ใน Windows Server
Best Free FTP Client software สำหรับ Windows 10 PC
Use Vssadmin command-line เพื่อจัดการ VSS ใน Windows 10
Windows Update Client ล้มเหลวในการตรวจจับด้วย error 0x8024001f
วิธีกำหนดค่า Global Proxy Server Settings ใน Windows 10
Fix Windows Store Error Server สะดุด
วิธีเพิ่มหรือเปลี่ยน Time Server ใน Windows 10
Fix ARK Unable ถึง Query Server Info สำหรับ Invite
Synchronize Windows 10 Clock กับ Internet Time Server
ไม่พบ Fix Site Ca, Server IP Could ไม่พบ
วิธีตั้งค่าพร็อกซีเซิร์ฟเวอร์บนแท็บเล็ต Windows 8.1 หรืออุปกรณ์ไฮบริด
วิธีการลบ Roles and Features ใน Windows Server
Setup Filezilla Server and Client: Screenshot and Video tutorial
วิธีการที่จะปล่อยให้ Discord Server A (2021)
เซิร์ฟเวอร์ DLNA คืออะไรและจะเปิดใช้งานบน Windows 10 ได้อย่างไร
DNS Server ของคุณอาจไม่สามารถใช้งานได้ใน Windows 10