このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、.....
ソース:Microsoft-Windows-ActiveDirectory_DomainService
イベント ID:2886
ソース名:Microsoft-Windows-ActiveDirectory_DomainService
イベント ソース名:NTDS Database
ログ:Directory Service
レベル:警告
タスクのカテゴリ:LDAP インターフェイス
オペコード:情報
キーワード:クラシック
メッセージ:このディレクトリ サーバーのセキュリティは、署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM または ダイジェスト) LDAP バインド、およびクリア テキスト (SSL/TLS 暗号化がされていない) 接続上で実行される LDAP 簡易 バインドを拒否するようサーバーを設定することで、大幅に強化することができます。これらのバインドを使用する クライアントが 1 つもない場合でも、拒否するようにサーバーを構成することで、サーバーのセキュリティが強化されます。
一部のクライアントは現在、署名されていない SASL バインド、または非 SSL/TLS 接続を介した LDAP 簡易バインドに依存して いる可能性があり、構成を変更すると機能しなくなる可能性があります。このようなバインドを使用するクライアントを特定できるように、 このディレクトリ サーバーで該当するバインドが発生した場合、発生件数を示す要約イベントを 24 時間ごとに記録します。 該当するバインドの使用を特定されたクライアントについては、そのようなバインドを使用しないように構成を変更することをお勧めします。イベントが 記録されなくなってから一定の期間が経過したら、該当するバインドを拒否するようにサーバーを構成してください。
サーバーの構成を変更する方法について詳しくは、http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。
追加のログ作成を有効にして、クライアントがそのようなバインドを作成するたびに、バインドの作成元のクライアントの情報も含め、 イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリ の設定をレベル 2 以上に上げてください。
説明
もしドメインコントローラ間で複製のエラーが発生している場合は以下の事項を確認します。
(1)RPCサーバ通信
ドメインコントローラ間で通信が正常であることを確認します。
ping や rpcping やRepadmin /bindコマンドを使用します。
(2)NTDS、DNSサービス
NTDSサービスやDNSサービス(Active Directory統合の場合)に問題ないか確認します。
(3)コンピュータアカウント
コンピュータアカウントのパスワードに問題がないことを確認します。
(4)ドメインコントローラの名前解決
pingやnslookupコマンドでドメインコントローラの名前解決に問題ないか確認します。
(5)5分以上の時間のずれが発生していないか確認します。
(6)USNロールバック
USNロールバックが発生していないか確認します。(ドメインコントローラをスナップショットから復元した場合など)
Related link
Post Comment