alww
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
smurf78
разобрали на хабре
вкратце для отключения
"
Для этого нужно установить два значения типа DWORD в реестре (привожу для AD DS, для AD LDS нужно вместо NTDS подставить имя экземпляра):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LdapEnforceChannelBinding=0 — чтобы отключить требование Channel Binding
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity=0 — чтобы отключить требование LDAP Signing
Если этих значений нет — надо их создать. Второе значение для AD DS контролируется ещё и групповой политикой Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: LDAP server signing requirements, и сейчас там (по крайней мере — в свежем домене на Win2012 R2) по умолчанию в Default Domain Controller Policy стоит отключение требования, что выливается в значение ключа =1, из-за чего после обновления требование LDAP Signing реально будет применяться. Однако, согласно статье в блоге, установка указанного параметра в 0 приведет к тому, что этого после обновления требования LDAP Signing не будет. Как это будет реализовано — я таки не понял. Потому думаю, что на всякий случай, этот параметр политики надо поставить в положение Отключено а нужное (=0) значение — установить напрямую в реестре на всех КД.
Думаю однако, что после появления обновления всё это надо будет, на всякий случай, протестировать на стенде."
подробнее статья на хабре https://habr.com/ru/post/486698/ |
