Active directoryのエラー

このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易 バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。

一部のクライアントは現在、署名されていない SASL バインド、または非 SSL/TLS 接続を介した LDAP 簡易バインドに依存して いる可能性があり、構成を変更すると機能しなくなる可能性があります。このようなバインドを使用するクライアントを特定できるように、 このディレクトリ サーバーで該当するバインドが発生した場合、発生件数を示す要約イベントを 24 時間ごとに記録します。 該当するバインドの使用を特定されたクライアントについては、そのようなバインドを使用しないように構成を変更することをお勧めします。イベントが 記録されなくなってから一定の期間が経過したら、該当するバインドを拒否するようにサーバーを構成してください。

サーバーの構成を変更する方法について詳しくは、http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。

追加のログ作成を有効にして、クライアントがそのようなバインドを作成するたびに、バインドの作成元のクライアントの情報も含め、 イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリ の設定をレベル 2 以上に上げてください。

Windows Server 2008 で LDAP 署名を有効にする方法

コメント

コメントを投稿

このブログの人気の投稿

外部からAzure VMにドメインネームで接続する

外部からVMにアクセスできるようにホストネーム等を設定 Azureでは、パブリックIPリソースが、ネットワークアダブタに関連づけられ、ネットワークアダプタが、VMに接続される。 パブリックIPリソースには、静的IPアドレスか、動的IPアドレスがアサインされる。どちらにするかを選択することができる。外部からアクセスする際に毎回変更されると面倒なので静的IPアドレスを選択。 パブリックIPリソース=静的グローバルIPアドレスに、DNS名ラベルを設定できる。静的グローバルIPアドレスは、VMのネットワークアダプタにアサインされている。 外部から、vm_name.japaneast.cloudapp.azure.com でアクセスできる。このアドレスを使う場合はDNSの設定不要。 独自ドメインを使う場合はAzure DNSを設定する。 Azure DNSの設定  Azure DNSに、Aレコードを追加して、カスタムドメイン(vm_name.xxx.jp)と静的IPアドレスを直接関連付ける方法と、CNAMEレコードを追加して、カスタムドメインとDNSラベル名(vm_name.japaneast.cloudapp.azure.com)関連付ける方法がある。 AzureのDNS(リソースのDNSゾーン)で、CNAMEレコードを追加したら上手く行って、ウェブブラウザからIISに接続できた。 Azure アプリへのカスタム ドメイン名のマッピング  これで、win-vm1にRDP接続する際も、カスタムドメインでアクセスできるようになった。
続きを読む

Office365で独自ドメインを登録

イメージ
Office365 メール、スケジュール、ストレージを共有するクラウドシステムとして利用する。   取得したドメインをoffice365 Cloud Exchange Server で利用するための手続き Office365Admin Centerでドメインの追加及び編集 独自ドメインのDNSサーバーをOffice365で管理するか、自分のDNSサーバーを利用するかを選択する。Office365で管理する場合は、DNSレコードの設定が自動で行われる。また将来の変更も自動で行われる。当面WEBサーバーなど立てる予定もないので、AzureなどでDNSを立てるまではOffice365で管理することとする。 まず、ドメインの所有権を確認するために、お名前.comのツールで、DNSサーバーのTXTレコードを指示通りに変更、その後1時間後ぐらいに確認ボタンをクリック。すぐクリックしてしまったからか、エラーになった翌日に再度確認したら認証された。 指示通りにDNSサーバーをOffice365の指定のDNSサーバーに変更したが、自動で行われるはずのDNSレコードの設定がなかなか行われず、エラーが出続けた。いろいろ試行錯誤したが、結局翌日になったらエラーが解消された。 参考資料 DNSの仕組みと運用 下記の画面で上のオプションを選択する。 オンライン サービスの設定 オンライン サービスを設定するには、ホストに 1 つ以上の DNS レコードを追加する必要があります。 これらの ステップバイステップの手順 で、この手順の詳細を確認できます。 自分の代わりにオンライン サービスを設定する。(推奨) 次に、ネーム サーバーの DNS レコードを更新して、オンライン サービスの残りを設定するアクセス許可を Office 365 に与えます。 ...
続きを読む

Azure VMでWebsiteをホストする

Windows Serverにウェブホスト設定する サーバーへのアクセスを設定するために基本的なサービスであるウェブサイトのホストを設定する。 LinuxだとApacheだが、Windows Serverでは、IIS (Internet Information Services)を設定する。 サーバーマネージャーのダッシュボードにある「役割と機能の追加」をクリック。 Web Server (IIS)を選択。 HTTPポートを開ける Webサーバー(IIS)を追加しただけでは、外部から接続することはできません。外部に公開するには、以下の手順でHTTPポート(TCP/80)を開ける必要があります。 ① Azureポータルの左ペインにある「リソースグループ」をクリックします。 ② 仮想マシンを含むリソースグループの名前をクリックします。 ③ 右にリソースグループの画面が開いたら、「リソース」のリストにあるネットワークセキュリティグループの名前をクリックします。 ④ 右にネットワークセキュリティグループの画面が開き、さらに「設定」が開いたら「受信セキュリティ規則」をクリックします。 ⑤ 右に「受信セキュリティ規則」が開いたら、「追加」をクリックします。 ⑥ 右に「受信セキュリティ規則の追加」が開いたら、「名前」に任意の名前(HTTPなど)、「宛先ポート範囲」に「80」と入力し、「プロトコル」の「TCP」をクリックして「OK」をクリックします。 参考 How to Azure ~ IIS(Webサーバー)を立ち上げよう
続きを読む