читая эту статью: https: //www.petri. com / enable-secure-ldap-windows-server-2008-2012-dc
Первый способ самый простой: LDAPS автоматически включается, когда вы устанавливаете корневой центр сертификации предприятия на контроллер домена. если ты установите роль AD-CS и укажите тип установки «Предприятие» на контроллере домена все контроллеры домена в лесу будут автоматически настроены на принять LDAPS.
Это правда? Если я устанавливаю службы сертификатов на одном контроллере домена, все контроллеры домена в домене принимают LDAPS? Все ли они автоматически регистрируются для сертификатов или все запросы LDAPS направляются обратно в контроллер домена с установленным корневым CA? Что произойдет, если я удалю корневой CA из контроллера домена?
Мне нужно включить ldaps, если я просто установлю корневой CA на DC, я закончил?
Я понимаю последствия для безопасности, но для моей небольшой среды это будет быть предпочтительным путем.
В общем, да, запрет любых сетевых конфигураций, таких как доступ к брандмауэру для протокола LDAPS (: 636) по сравнению с протоколом LDAP (: 389).
В стандартной установке интегрированного центра сертификации Active Directory ваши контроллеры домена будут выдал сертификат на основе шаблона сертификата контроллера домена, который включает OID проверки подлинности сервера в качестве предполагаемой цели. Любой действительный сертификат, содержащий этот OID, будет автоматически выбран и привязан к LDAPS (: 636) службой Schannel.
Удаление этого сертификата или отсутствие надлежащего сертификата аутентификации сервера приведет к тому, что предупреждающие события будут регистрироваться в средстве просмотра событий Журнал безопасности каждую секунду под источником Schannel.
Распространенное предостережение требует правильной поддержки альтернативного имени субъекта для сертификатов LDAPS. Шаблон сертификата контроллера домена по умолчанию не включает имена сертификатов SAN. Если у вас есть domain.com с контроллерами домена с именами dc1.domain.com и dc2.domain.com , то LDAPS (: 636) обращается к domain.com будет возвращен с использованием сертификата отвечающего контроллера домена ( dc1.domain.com или dc2.domain.com ). Многие приложения и протоколы будут рассматривать это как угрозу безопасности и выводить ошибку.
openssl.exe -s_client domain.com:636
----- НАЧАТЬ СЕРТИФИКАТ ...
через ... КОНЕЦ СЕРТИФИКАТА -----
раздел. Да и нет. Да; вы можете заблокировать LDAP (: 389) для всего трафика Север-Юг (между внутренним и внешним). Нет; вы не можете заблокировать LDAP (: 389) для трафика Восток-Запад (между внутренним и внутренним). LDAP (: 389) имеет решающее значение для определенных функций репликации в Active Directory. Эти действия защищены с помощью Kerberos Signed and Sealed.
Приносим извинения за отсутствие точных шагов или снимков экрана. В данный момент я не нахожусь в той среде, откуда я мог бы их поставлять.