Signaturanforderungen der LDAP-Server konfigurieren
23. Mai 2024
ID 272729
Konfiguration über die Konsole "Group Policy Management"
So konfigurieren Sie die Anforderung einer digitalen Signatur für LDAP-Server mithilfe der Konsole "Group Policy Management":
- Drücken Sie die Tastenkombination Win+R, geben Sie im neuen Fenster
gpmc.msc
ein und drücken Sie die Eingabetaste.Das Snap-In-Fenster Group Policy Management wird geöffnet.
- Wählen Sie in der Baumstruktur der Konsole den Pfad Forest <Domänname> → Domains → <Domänenname>.
- Wählen Sie im Kontextmenü des Objekts Default Domain Policy die Option Edit aus.
- Wählen Sie im Fenster Group Policy Management Editor in der Baumstruktur der Konsole den Pfad Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options und wählen Sie anschließend im Arbeitsbereich die Richtlinie Domain controller: LDAP server signing requirement aus.
- Aktivieren Sie im Fenster mit den Richtlinieneigenschaften das Kontrollkästchen Define this policy setting und wählen Sie in der unteren Dropdown-Liste den Wert Require signing aus.
- Klicken Sie auf die Schaltfläche OK.
- Binden Sie das Gruppenrichtlinienobjekt an einen Domänencontainer in Active Directory.
Konfiguration über den Registrierungseditor
So konfigurieren Sie die Anforderung einer digitalen Signatur für LDAP-Server mithilfe des Registrierungseditors:
- Drücken Sie die Tastenkombination Win+R, geben Sie im neuen Fenster
regedit
ein und drücken Sie die Eingabetaste.Das Fenster Registry Editor wird geöffnet.
- Navigieren Sie zu folgendem Pfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters.
- Erstellen Sie für den Schlüssel Parameters einen neuen Parameter des Typs DWORD (32-bit) value mit dem Namen LDAPServerIntegrity und dem Wert
2
. - Um die Änderungen zu übernehmen, starten Sie den Active Directory-Controller neu.
- Wiederholen Sie die Schritte 1–4 für jeden Active Directory-Domänencontroller.
Konfiguration mittels PowerShell
So konfigurieren Sie die Anforderung einer digitalen Signatur für LDAP-Server mithilfe von Powershell:
Führen Sie auf jedem Active Directory-Domänencontroller den folgenden Befehl aus:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\NTDS\Parameters' –Name LDAPServerIntegrity –Value 2
Sobald die Änderungen auf den Active Directory-Domänencontroller übernommen wurde, kann die Einstellung für die Signaturanforderung der LDAP-Clients auf Require signing geändert werden.