Nach der Promovierung eines 2008R2 Servers zum DC erscheint in den Eventlogs gerne mal die Warnung mit der Ereignis-ID 2886:
Protokollname: Directory Service
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Ereignis-ID: 2886
Aufgabenkategorie: LDAP-Schnittstelle
Beschreibung:Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich. Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung ohne SSL-/TLS-Verschlüsselung […]
Diese Sicherheit zu erhöhen ist kein Problem. wichtig zu wissen ist, das es gewisse Inkompatibilitäten mit Windows XPSP2 und darunter (bzw. Server2003SP1) geben kann.
So führt man die Signaturpflicht für LDAP-Bindungen ein:
- Gruppenrichtlinienverwaltung öffnen
- „Default domain Policy“ bearbeiten
- Gehe zu:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
- „Domänencontroller: Signaturanforderungen Eigenschaften für LDAP-Server“ auf „Signatur erforderlich“ stellen.