Windows Server: Active Directory Etki Alanı Denetleyicisinde Güvenli Basit Dizin Erişim Protokolünü (LDAPS) Etkinleştirme

Basit Dizin Erişim Protokolü (LDAP), Active Directory Etki Alanı Hizmetleri'nin temel protokollerinden biridir. Güvenli LDAP (LDAPS veya SSL veya TLS üzerinden LDAP), LDAP iletişimini şifreleme yoluyla güvenli hale getirmenin bir yoludur.
 
DC'nin LDAPS'yi kullanması için uygun bir sertifika oluşturulmalı ve DC'ye yüklenmelidir. Aşağıdakiler, sertifika isteği için şablon olarak kullanılabilir:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

LDAPS sertifikası oluşturmak için yukarıdaki metni Not Defteri'ne kopyalayın. Subject satırındaki DC_fqdn> sertifikanın yüklü olduğu DC'nin tam nitelikli etki alanı adıyla değiştirin< (örneğin, dc1.ad.domain.com).

Sertifika yetkilisine (CA) bağlı olarak, aşağıdaki bilgilerin bazıları veya tümü de gerekli olabilir:

• E-posta adresi (E)
• Kuruluş birimi (OU)
• Organizasyon (O)
• Şehir veya mevki (L)
• Eyalet veya il (S)
• Ülke veya bölge (C)

Tüm bu bilgiler, bu örnekte olduğu gibi Konu satırına eklenebilir:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Metin dosyasını request.inf olarak kaydedin ve çalıştırın certreq -new request.inf request.req komut isteminden. Bu, metin dosyasında sağlanan bilgileri kullanarak request.req adlı bir sertifika isteği oluşturur.

İstek oluşturulduktan sonra CA'ya gönderilmelidir. Gönderim prosedürü, CA'ya bağlı olduğu için burada belgelenemez.

CA, DC'ye indirilmesi gereken sertifikayı oluşturur. İndirme prosedürü de değişiklik gösterir ancak sertifikanın base64 olarak kodlanması gerekir.

Sertifikayı DC'ye ldaps.cer olarak kaydedin ve çalıştırın certreq -accept ldaps.cer tıklayarak bekleyen isteği tamamlayın ve sertifikayı yükleyin. Varsayılan olarak, sertifika DC'nin Kişisel deposuna yüklenir; Bunu doğrulamak için Sertifikalar MMC ek bileşeni kullanılabilir.

DC'nin bu aşamada yeniden başlatılması gerekir. DC, Windows'a yeniden önyüklendiğinde, LDAP iletişimi için LDAPS otomatik olarak kullanılır; Başka yapılandırma gerekmez.

Çalıştırma netstat herhangi bir DC'deki komutu, yukarıdaki prosedürün izlenip izlenmediğine bakılmaksızın lsass.exe işleminin TCP bağlantı noktaları 389 ve 636'yı dinlediğini gösterir. Ancak, uygun bir sertifika yüklenene kadar LDAPS kullanılamaz.

ADSI Düzenleme aracı, LDAPS'nin kullanımda olduğunu doğrulamak için kullanılabilir:

1. ADSI Düzenlemesini Başlatın (adsiedit.msc).
2. Sol bölmede, ADSI Düzenle'ye sağ tıklayın ve Şuna Bağlan...'ı seçin. IP adresi için sorgular.
3. Açılır menüden bir adlandırma bağlamı seçin.
4. Use SSL based encryption (SSL tabanlı şifreleme kullan) seçeneğini işaretleyin.
5. Gelişmiş... öğesine tıklayın.
6. Bağlantı noktası numarası olarak 636 girin ve Tamam a tıklayın.
7. 636 numaralı bağlantı noktası, pencerenin üst kısmındaki Yol alanında görünmelidir. Bağlanmak için Tamam öğesine tıklayın.
8. Bağlantı başarılı olursa LDAPS kullanılıyordur.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less