Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 66 vistas

    Error 2886 Interfaz LDAP

    Cargado por

    Becky Painter
    Este documento describe un evento de advertencia generado en un servidor de directorio sobre la seguridad de los enlaces LDAP. Recomienda configurar el servidor para rechazar enlaces LDAP sin firma o cifrado para mejorar la seguridad. También explica cómo configurar las políticas de grupo para requerir la firma del servidor LDAP.

    Copyright:

    © All Rights Reserved
    Descargue como TXT, PDF, TXT o lea en línea desde Scribd

    Error 2886 Interfaz LDAP

    Cargado por

    Becky Painter
    66 vistas5 páginas
    Este documento describe un evento de advertencia generado en un servidor de directorio sobre la seguridad de los enlaces LDAP. Recomienda configurar el servidor para rechazar enlaces LDAP sin firma o cifrado para mejorar la seguridad. También explica cómo configurar las políticas de grupo para requerir la firma del servidor LDAP.

    Título original

    Error 2886 Interfaz LDAP.txt

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    TXT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe un evento de advertencia generado en un servidor de directorio sobre la seguridad de los enlaces LDAP. Recomienda configurar el servidor para rechazar enlaces LDAP sin firma o cifrado para mejorar la seguridad. También explica cómo configurar las políticas de grupo para requerir la firma del servidor LDAP.

    Copyright:

    © All Rights Reserved
    Descargue como TXT, PDF, TXT o lea en línea desde Scribd
    Descargar como txt, pdf o txt
    66 vistas5 páginas

    Error 2886 Interfaz LDAP

    Cargado por

    Becky Painter
    Este documento describe un evento de advertencia generado en un servidor de directorio sobre la seguridad de los enlaces LDAP. Recomienda configurar el servidor para rechazar enlaces LDAP sin firma o cifrado para mejorar la seguridad. También explica cómo configurar las políticas de grupo para requerir la firma del servidor LDAP.

    Copyright:

    © All Rights Reserved
    Descargue como TXT, PDF, TXT o lea en línea desde Scribd
    Descargar como txt, pdf o txt
    Está en la página 1de 5

    En mi DC 2008, recibo este evento:

    Nombre de registro: servicio de directorio


    Fuente: Microsoft-Windows-ActiveDirectory_DomainService
    Fecha: 12/06/2008 4:04:10 PM
    Id. De evento: 2886
    Categor�a de tarea: interfaz LDAP
    Nivel: Advertencia
    Palabras clave: cl�sico
    Usuario: INICIO DE SESI�N AN�NIMO
    Computadora: CSD-6700.csd.lan
    Descripci�n:
    La seguridad de este servidor de directorio se puede mejorar significativamente
    configurar el servidor para rechazar SASL (Negociar, Kerberos, NTLM o
    Compendios) enlaces LDAP que no solicitan firma (verificaci�n de integridad) y
    Enlaces simples LDAP que se realizan en un texto sin cifrar (sin cifrado SSL / TLS)
    conexi�n. Incluso si ning�n cliente est� utilizando dichos enlaces, configurar el
    servidor
    rechazarlos mejorar� la seguridad de este servidor.

    Algunos clientes pueden depender actualmente de enlaces SASL sin firmar o LDAP
    simple
    se une a una conexi�n que no sea SSL / TLS y dejar� de funcionar si esto
    Se realiza cambio de configuraci�n. Para ayudar a identificar a estos clientes, si
    tales enlaces ocurren este servidor de directorio registrar� un evento de resumen
    una vez cada
    24 horas indicando cu�ntos enlaces se produjeron. Te animamos a
    configurar esos clientes para que no usen tales enlaces. Una vez que no haya tales
    eventos
    observado durante un per�odo prolongado, se recomienda configurar el
    servidor para rechazar tales enlaces.

    �Qu� puedo hacer para detener este evento?

    Ejecute gpme.msc. Vaya a Pol�tica de controladores de dominio ? Configuraci�n del


    equipo ? Configuraci�n de Windows ? Configuraci�n de seguridad ? Pol�ticas
    locales ? Opciones de seguridad ? Requisitos de firma del servidor LDAP.

    Aseg�rese de que la casilla junto a Definir esta configuraci�n de directiva est�


    marcada. Cambie la configuraci�n a Requerir firma.

    Ejecut� gpme.msc. Controladores de dominio seleccionados (nombre del controlador de


    dominio), Pol�tica de controladores de dominio predeterminados, Configuraci�n del
    equipo, Pol�ticas, Configuraci�n de Windows, Configuraci�n de seguridad, Pol�ticas
    locales, Opciones de seguridad, Controlador de dominio: Requisitos de firma del
    servidor LDAP y aseg�rese de que Definir esta pol�tica est� marcada y Firma
    obligatoria es select.

    Mi pregunta es qu� sigue. �Hay alguna forma de borrar esta advertencia para que la
    pr�xima vez que verifique el registro de eventos solo vea nuevas advertencias?

    -------------

    Nombre de registro:Directory Service


    Origen: Microsoft-Windows-ActiveDirectory_DomainService
    Fecha: 04/12/2019 07:09:49 a.m.
    Id. del evento:2886
    Categor�a de la tarea:Interfaz LDAP
    Nivel: Advertencia
    Palabras clave:Cl�sico
    Usuario: ANONYMOUS LOGON
    Equipo: SERVER.vrc.local.com
    Descripci�n:
    La seguridad de este servidor de directorio puede mejorar de forma notable si se
    configura el servidor para que rechace los enlaces LDAP de tipo SASL (Negotiate,
    Kerberos, NTLM o Digest) que no soliciten ninguna firma (comprobaci�n de
    integridad) y los enlaces LDAP simples que se realizan en una conexi�n de texto no
    cifrado (sin cifrado SSL/TLS). Aunque no haya ning�n cliente usando dichos enlaces,
    si configura el servidor para que los rechace, mejorar� la seguridad de este
    servidor.

    Es probable que algunos clientes se basen actualmente en enlaces SASL sin firmar o
    en enlaces LDAP simples a trav�s de una conexi�n que no sea SSL/TLS, y dejar�n de
    funcionar si se realiza este cambio de configuraci�n. Para ayudarle a identificar
    estos clientes, si se realizan enlaces de este tipo, este servidor de directorio
    registrar� un evento de resumen cada 24 horas que indique cu�ntos enlaces de este
    tipo se han realizado. Es conveniente que configure estos clientes para que no usen
    este tipo de enlaces. Cuando deje de observar este tipo de eventos durante un largo
    per�odo, es recomendable que configure el servidor para que rechace este tipo de
    enlaces.

    Para obtener m�s detalles e informaci�n sobre c�mo realizar este cambio de
    configuraci�n en el servidor, consulte http://go.microsoft.com/fwlink/?
    LinkID=87923.

    Puede habilitar un registro adicional para registrar un evento cada vez que un
    cliente realice un enlace de este tipo que incluya informaci�n sobre el cliente que
    realiz� el enlace. Para ello, aumente el valor de la categor�a de registro de
    eventos "Eventos de interfaz LDAP" al nivel 2 o a un nivel superior.
    XML de evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
    <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
    Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS General" />
    <EventID Qualifiers="32768">2886</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>16</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2019-12-04T11:09:49.353343800Z" />
    <EventRecordID>222</EventRecordID>
    <Correlation />
    <Execution ProcessID="516" ThreadID="664" />
    <Channel>Directory Service</Channel>
    <Computer>SERVER.vrc.local.com</Computer>
    <Security UserID="S-1-5-7" />
    </System>
    <EventData>
    </EventData>
    </Event>

    -----------

    https://support.microsoft.com/es-es/help/935834/how-to-enable-ldap-signing-in-
    windows-server-2008
    -----------
    C�mo configurar el directorio para requerir la firma del servidor LDAP
    Uso de la directiva de grupo
    C�mo establecer el requisito de firma LDAP del servidor

    Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuaci�n,


    haga clic en Aceptar.
    En el men� Archivo , haga clic en Agregar o quitar complemento.
    En el cuadro de di�logo Agregar o quitar complementos , haga clic en Editor de
    administraci�n de directivasde grupo y, a continuaci�n, haga clic en Agregar.
    En el cuadro de di�logo Seleccionar objeto de directiva de grupo, haga clic en
    Examinar.
    En el cuadro de di�logo Buscar un objeto de directiva de grupo, haga clic en
    Directiva de dominio predeterminada en el �rea Dominios, unidades organizativas y
    objetos de directiva de grupo vinculados y, a continuaci�n, haga clic en Aceptar.
    Haga clic en Finalizar.
    Haga clic en Aceptar.
    Expanda Directiva de controlador de dominio predeterminado, expanda
    Configuraci�n del equipo, expanda Directivas, expanda Configuraci�n de Windows,
    expanda Configuraci�n de seguridad, expanda Directivas localesy, a continuaci�n,
    haga clic en Opcionesde seguridad .
    Haga clic con el bot�n secundario en Controlador de dominio: Requisitosde firma
    del servidor LDAP y, a continuaci�n, haga clic en Propiedades.
    En el cuadro de di�logo Propiedades de los requisitos de firma del servidor
    LDAP, habilite Definir esta configuraci�nde directiva , haga clic para seleccionar
    Requerir firma en la lista desplegable Definir esta configuraci�n de directiva y, a
    continuaci�n, haga clic en Aceptar.
    En el cuadro de di�logo Confirmar cambio de configuraci�n , haga clic en S�.

    C�mo establecer el requisito de firma LDAP del cliente a trav�s de la directiva de


    equipo local

    Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuaci�n,


    haga clic en Aceptar.
    En el men� Archivo , haga clic en Agregar o quitar complemento.
    En el cuadro de di�logo Agregar o quitar complementos, haga clic en Editor de
    objetos de directiva de grupoy, a continuaci�n, haga clic en Agregar.
    Haga clic en Finalizar.
    Haga clic en Aceptar.
    Expanda Directiva de equipo local, expanda Configuraci�n del equipo, Expanda
    Directivas, Configuraci�n de Windows , Configuraci�nde seguridad, Expanda
    Directivas localesy, a continuaci�n, haga clic en Opciones de seguridad.
    Haga clic con el bot�n secundario en Seguridad de red: Requisitosde firma de
    cliente LDAP y, a continuaci�n, haga clic en Propiedades.
    En el cuadro de di�logo Propiedades de requisitos de firma de cliente LDAP:
    Seguridad de red: haga clic para seleccionar Requerir firma en la lista desplegable
    y, a continuaci�n, haga clic en Aceptar.
    En el cuadro de di�logo Confirmar cambio de configuraci�n , haga clic en S�.

    C�mo establecer el requisito de firma LDAP de cliente a trav�s de un objeto de


    directiva de grupo de dominio

    Haga clic en Inicio, haga clic en Ejecutar, escriba mmc.exey, a continuaci�n,


    haga clic en Aceptar.
    En el men� Archivo , haga clic en Agregar o quitar complemento.
    En el cuadro de di�logo Agregar o quitar complementos, haga clic en Editor de
    objetos de directiva de grupoy, a continuaci�n, haga clic en Agregar.
    Haga clic en Examinary, a continuaci�n, seleccione Directiva de dominio
    predeterminada (o el objeto de directiva de grupo para el que desea habilitar la
    firma LDAP de cliente).
    Haga clic en Aceptar.
    Haga clic en Finalizar.
    Haga clic en Cerrar.
    Haga clic en Aceptar.
    Expanda Directiva de dominio predeterminada, expanda Configuraci�n del equipo,
    Configuraci�n de Windows , Configuraci�n de seguridad, Expanda Directivas localesy,
    a continuaci�n, haga clic en Opciones de seguridad.
    En el cuadro de di�logo Propiedades de requisitos de firma de cliente LDAP:
    Seguridad de red: haga clic para seleccionar Requerir firma en la lista desplegable
    y, a continuaci�n, haga clic en Aceptar.
    En el cuadro de di�logo Confirmar cambio de configuraci�n , haga clic en S�.

    Para obtener m�s informaci�n, haga clic en el n�mero de art�culo siguiente para
    verlo en Microsoft Knowledge Base:
    823659 Incompatibilidades de clientes, servicios y programas que pueden producirse
    al modificar la configuraci�n de seguridad y las asignaciones de derechos de
    usuario
    C�mo utilizar las claves del Registro
    Para que cambiemos las claves del registro para usted, vaya a la secci�n"Arreglarlo
    para m�". Si prefiere cambiar las claves del registro usted mismo, vaya a la
    secci�n"D�jame arreglarlo yo mismo".
    Solucionarlo en mi lugar
    Para solucionar este problema autom�ticamente, haga clic en el bot�n o v�nculo
    Corregirlo, haga clic en Ejecutar en el cuadro de di�logo Descarga de archivos y, a
    continuaci�n, siga los pasos del asistente Solucionarlo.
    Notes

    Es posible que este asistente est� solo en ingl�s. Sin embargo, la soluci�n
    autom�tica tambi�n funciona para las dem�s versiones de Windows en otros idiomas.
    Si no est� utilizando el equipo que tiene el problema, guarde la soluci�n Fix
    it en una unidad flash o un CD y, a continuaci�n, ejec�tela en el equipo que tiene
    el problema.

    A continuaci�n, vaya a la secci�n ��Esta informaci�n le ha ayudado a solucionar el


    problema?�.
    Solucionarlo por m� mismo
    Importante Esta secci�n, m�todo o tarea contiene pasos que indican c�mo modificar
    el registro. Sin embargo, pueden producirse problemas graves si modifica el
    registro incorrectamente. Por lo tanto, aseg�rese de seguir estos pasos
    cuidadosamente. Para mayor protecci�n, realice una copia de seguridad del registro
    antes de modificarlo. A continuaci�n, puede restaurar el registro si se produce un
    problema. Para obtener m�s informaci�n acerca de c�mo realizar una copia de
    seguridad y restaurar el registro, haga clic en el n�mero de art�culo siguiente
    para verlo en Microsoft Knowledge Base:
    322756 C�mo realizar una copia de seguridad y restaurar el Registro en Windows

    Haga clic en Inicio y en Ejecutar, escriba regedit y haga clic en Aceptar.


    Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    Haga clic con el bot�n secundario en la entrada del Registro
    LDAPServerIntegrity y, a continuaci�n, haga clic en Modificar.
    Cambie Datos de valor a 2y, a continuaci�n, haga clic en Aceptar.
    Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
    Haga clic con el bot�n secundario en la entrada del Registro
    ldapclientintegrity y, a continuaci�n, haga clic en Modificar.
    Cambie los datos de valor a 2y, a continuaci�n, haga clic en Aceptar.
    De forma predeterminada, para Active Directory Lightweight Directory Services (AD
    LDS), la clave del Registro no est� disponible. Por lo tanto, debe crear una
    entrada de registro LDAPServerIntegrity del tipo REG_DWORD bajo la siguiente
    subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
    Nota El marcador de posici�n <InstanceName> representa el nombre de la instancia de
    AD LDS que desea cambiar.
    C�mo verificar los cambios de configuraci�n

    Haga clic en Inicio y en Ejecutar, escriba ldp.exe y haga clic en Aceptar.


    En el men� Conexi�n , haga clic en Conectar.
    En el campo Servidor y en el campo Puerto, escriba el nombre del servidor y el
    puerto no SSL/TLS del servidor de directorios y, a continuaci�n, haga clic en
    Aceptar. Nota Para un controlador de dominio de Active Directory, el puerto
    aplicable es 389.
    Una vez establecida una conexi�n, seleccione Enlazar en el men� Conexi�n.
    En Tipo de enlace, seleccione Enlace simple.
    Escriba el nombre de usuario y la contrase�a y, a continuaci�n, haga clic en
    Aceptar.

    si recibe el siguiente mensaje de error, configur� correctamente el servidor de


    directorios:
    Ldap_simple_bind_s() fall�: se requiere autenticaci�n fuerte
    �Esta informaci�n le ha ayudado a solucionar el problema?

    Compruebe si se ha solucionado el problema. Si se ha solucionado, ya ha


    terminado con esta secci�n. En caso contrario, puede ponerse en contacto con el
    soporte t�cnico.
    Agradecemos sus comentarios. Para proporcionar comentarios o para informar de
    cualquier problema con esta soluci�n, deje un comentario en el blog"Arreglarlo para
    m�",o env�enos un mensaje de correo electr�nico.

    DECLINACI�N DE RESPONSABILIDADES
    MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES NO OFRECEN DECLARACIONES SOBRE LA
    IDONEIDAD DE LA INFORMACION CONTENIDA EN LOS DOCUMENTOS Y GRAFICOS RELACIONADOS
    PUBLICADOS EN ESTE SITIO WEB PARA CUALQUIER FIN. LOS DOCUMENTOS Y GRAFICOS
    RELACIONADOS PUBLICADOS EN ESTE SITIO WEB PUEDEN INCLUIR IMPRECISIONES TECNICAS O
    ERRORES TIPOGRAFICOS. LOS CAMBIOS SE AGREGAN PERIODICAMENTE A LA INFORMACION EN
    ESTE DOCUMENTO. MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES PUEDEN REALIZAR MEJORAS
    Y/O CAMBIOS EN LOS PRODUCTOS Y/O LOS PROGRAMAS DESCRITOS EN EL PRESENTE EN
    CUALQUIER MOMENTO.

    También podría gustarte