一般的な答え

tag-icon tag-icon windows active-directory windows-server-2012-r2 ad-certificate-services
一般的な答え

この記事を読んで:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

最初の方法が最も簡単です。ドメイン コントローラーにエンタープライズ ルート CA をインストールすると、LDAPS が自動的に有効になります。AD-CS ロールをインストールし、DC でセットアップの種類を「エンタープライズ」に指定すると、フォレスト内のすべての DC が自動的に LDAPS を受け入れるように構成されます。

それは本当ですか? 単一の DC に証明書サービスをインストールすると、ドメイン内のすべての DC が LDAPS を受け入れますか? それらはすべて自動的に証明書を登録しますか、それともすべての LDAPS 要求はルート CA がインストールされている DC に返されますか? DC からルート CA をアンインストールするとどうなりますか?

LDAP を有効にする必要がありますが、DC にルート CA をインストールするだけで完了しますか?

セキュリティ上の影響があることは理解していますが、私の小規模な環境ではこれが望ましい方法です。

答え1

一般的な答え

一般的に言えば、LDAPS プロトコル (:636) と LDAP プロトコル (:389) のファイアウォール アクセスなどのネットワーク関連の構成を除けば、はい。

標準の Active Directory 統合証明機関のインストールでは、ドメイン コントローラーには、サーバー認証 OID が目的として含まれるドメイン コントローラー証明書テンプレートに基づいて証明書が発行されます。この OID を含む有効な証明書は、Schannel サービスによって自動的に取得され、LDAPS (:636) にバインドされます。

この証明書を削除するか、適切なサーバー認証証明書がない場合、Schannel ソースのイベント ビューアーのセキュリティ ログに毎秒警告イベントが記録されます。

件名の別名のサポート

よくある注意点は、LDAPS証明書に適切なサブジェクト代替名のサポートが必要であることです。デフォルトのドメインコントローラ証明書テンプレートには、証明書のSAN名は含まれていません。ドメイン.comドメインコントローラの名前dc1.domain.comそしてdc2.domain.com、LDAPS (:636) は次のように呼び出しますドメイン.com応答ドメインコントローラの証明書を使用して返されます(dc1.domain.comまたはdc2.domain.com)。多くのアプリケーションやプロトコルはこれをセキュリティ上の脅威として扱い、エラーを出力します。

LDAPS の SAN サポートを有効にする

  1. ドメイン コントローラー上の標準発行ドメイン コントローラー証明書を取り消して削除します。
  2. ドメイン コントローラー テンプレートのセキュリティが読み取りアクセス許可を許可するようにマークされていることを確認しますが、ドメイン コントローラー、エンタープライズ ドメイン コントローラー、および読み取り専用ドメイン コントローラーの登録アクセス許可や自動登録アクセス許可は削除します。
  3. サーバー認証 OID などを含む Kerberos 認証テンプレートを複製します。
    • このテンプレートでキーのエクスポートが許可されていること、およびサブジェクト名が Active Directory から構築されず、要求内で提供されるようにマークされていることを確認します。
    • 証明書テンプレートのセキュリティで、ドメイン コントローラー、エンタープライズ ドメイン コントローラー、および読み取り専用ドメイン コントローラーに読み取りと登録の両方が許可されていることを確認します。
  4. 新しく作成した証明書テンプレートを公開します。
  5. 各ドメインコントローラにログオンし、テンプレートから新しい証明書を要求し、名前付け情報として以下を設定します(例はdc1.domain.com):
    • 一般名:dc1.domain.com
    • SAN:dc1.domain.comdc1ドメイン.com、 そしてドメイン
  6. 各ドメイン コントローラーを再起動し (必ずしも必要ではありませんが、念のため)、イベント ビューアーのセキュリティ チャネルで適切な証明書が見つからないという警告が表示されなくなったことを確認します。

ボーナス情報

LDAPS 接続を内部で素早く確認するにはどうすればよいですか?

  1. ドメイン コントローラーにログオンします。
  2. LDP.exe を起動します。
  3. ドメイン コントローラー名、IP アドレス、またはドメイン名自体への新しい接続を開きます。
    • ポート: 636
    • SSL: チェック
  4. 結果から、接続したかどうか、またどのドメイン コントローラーのコンテキストに接続したかがわかります。

現在の Schannel/LDAPS 証明書をすぐに確認するにはどうすればいいですか?

  1. OpenSSL をダウンロードし、アクセスします。
  2. openssl.exe -s_client domain.com:636
  3. 接続が正常に開かれた場合、ログの最初の部分に接続の詳細が表示されます。
  4. -----BEGIN CERTIFICATE...スルーセクション全体をコピーします...END CERTIFICATE-----
  5. これをメモ帳に貼り付けて保存します。証明書.cer
  6. 開ける証明書.cerSchannel/LDAPS が提示する証明書を確認します。

LDAPS (:636) を使用する場合、すべての LDAP (:389) トラフィックをブロックできますか?

はい、またいいえです。はい。すべての North-South トラフィック (内部と外部の間) で LDAP (:389) をブロックできます。いいえ。East-West トラフィック (内部と内部の間) で LDAP (:389) をブロックすることはできません。LDAP (:389) は、Active Directory の特定のレプリケーション機能にとって重要です。これらのアクティビティは、Kerberos の署名と封印を使用して保護されます。

正確な手順やスクリーンショットが不足していることをお詫びします。現時点では、それらを提供できる環境にありません。

関連情報