Error LDAP

08/05/2009 - 11:10 por pribas | Informe spam
Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
me he encuentro que este error se va repitiendo cada x tiempo.
El servidor es el primer DC de la organización y es DNS, GC, FS.

Es un error para alertarse? o es simplemente información.

Nombre de registro:Directory Service
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 08/05/2009 9:54:29
Id. del evento:2886
Categoría de la tarea:Interfaz LDAP
Nivel: Advertencia
Palabras clave:Clásico
Usuario: ANONYMOUS LOGON
Equipo: Servidor.dominio.local
Descripción:
La seguridad de este servidor de directorio puede mejorar de forma
notable si se configura el servidor para que rechace los enlaces LDAP
de tipo SASL (Negotiate, Kerberos, NTLM o Digest) que no soliciten
ninguna firma (comprobación de integridad) y los enlaces LDAP simples
que se realizan en una conexión de texto no cifrado (sin cifrado SSL/
TLS). Aunque no haya ningún cliente usando dichos enlaces, si
configura el servidor para que los rechace, mejorará la seguridad de
este servidor.

Es probable que algunos clientes se basen actualmente en enlaces SASL
sin firmar o en enlaces LDAP simples a través de una conexión que no
sea SSL/TLS, y dejarán de funcionar si se realiza este cambio de
configuración. Para ayudarle a identificar estos clientes, si se
realizan enlaces de este tipo, este servidor de directorio registrará
un evento de resumen cada 24 horas que indique cuántos enlaces de este
tipo se han realizado. Es conveniente que configure estos clientes
para que no usen este tipo de enlaces. Cuando deje de observar este
tipo de eventos durante un largo período, es recomendable que
configure el servidor para que rechace este tipo de enlaces.

Para obtener más detalles e información sobre cómo realizar este
cambio de configuración en el servidor, consulte
http://go.microsoft.com/fwlink/?LinkID‡923.

Puede habilitar un registro adicional para registrar un evento cada
vez que un cliente realice un enlace de este tipo que incluya
información sobre el cliente que realizó el enlace. Para ello, aumente
el valor de la categoría de registro de eventos "Eventos de interfaz
LDAP" al nivel 2 o a un nivel superior.
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/20...">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS
General" />
<EventID Qualifiers="32768">2886</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>16</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2009-05-08T07:54:29.125Z" />
<EventRecordID>111</EventRecordID>
<Correlation />
<Execution ProcessID="588" ThreadID="808" />
<Channel>Directory Service</Channel>
<Computer>Servidor.dominio.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
</EventData>
</Event>

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
08/05/2009 - 11:37 | Informe spam
Tal y como te dice el mensaje de advertencia (que no de error), y como te
detalla el KB al que hace referencia, simplemente te indica que tu AD no
tiene habilitado un certificado para hacer conexiones LDAP seguras (por
hacer un símil, igual que si tienes HTTP ó HTTPS para un acceso web).

Si quieres hacer uso de LDAP con conexiones seguras, deberás instalar un
certificado para ello; este mensaje efectivamnete es nuevo en los DCs de
2008 y son a título informativo únicamente (el SASL se pueed usar desde 2000
pero siempre por defecto han sido conexiones LDAP anónimas)

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



escribió en el mensaje
news:
Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
me he encuentro que este error se va repitiendo cada x tiempo.
El servidor es el primer DC de la organización y es DNS, GC, FS.

Es un error para alertarse? o es simplemente información.

Nombre de registro:Directory Service
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 08/05/2009 9:54:29
Id. del evento:2886
Categoría de la tarea:Interfaz LDAP
Nivel: Advertencia
Palabras clave:Clásico
Usuario: ANONYMOUS LOGON
Equipo: Servidor.dominio.local
Descripción:
La seguridad de este servidor de directorio puede mejorar de forma
notable si se configura el servidor para que rechace los enlaces LDAP
de tipo SASL (Negotiate, Kerberos, NTLM o Digest) que no soliciten
ninguna firma (comprobación de integridad) y los enlaces LDAP simples
que se realizan en una conexión de texto no cifrado (sin cifrado SSL/
TLS). Aunque no haya ningún cliente usando dichos enlaces, si
configura el servidor para que los rechace, mejorará la seguridad de
este servidor.

Es probable que algunos clientes se basen actualmente en enlaces SASL
sin firmar o en enlaces LDAP simples a través de una conexión que no
sea SSL/TLS, y dejarán de funcionar si se realiza este cambio de
configuración. Para ayudarle a identificar estos clientes, si se
realizan enlaces de este tipo, este servidor de directorio registrará
un evento de resumen cada 24 horas que indique cuántos enlaces de este
tipo se han realizado. Es conveniente que configure estos clientes
para que no usen este tipo de enlaces. Cuando deje de observar este
tipo de eventos durante un largo período, es recomendable que
configure el servidor para que rechace este tipo de enlaces.

Para obtener más detalles e información sobre cómo realizar este
cambio de configuración en el servidor, consulte
http://go.microsoft.com/fwlink/?LinkID‡923.

Puede habilitar un registro adicional para registrar un evento cada
vez que un cliente realice un enlace de este tipo que incluya
información sobre el cliente que realizó el enlace. Para ello, aumente
el valor de la categoría de registro de eventos "Eventos de interfaz
LDAP" al nivel 2 o a un nivel superior.
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/20...">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS
General" />
<EventID Qualifiers="32768">2886</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>16</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2009-05-08T07:54:29.125Z" />
<EventRecordID>111</EventRecordID>
<Correlation />
<Execution ProcessID="588" ThreadID="808" />
<Channel>Directory Service</Channel>
<Computer>Servidor.dominio.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
</EventData>
</Event>
Respuesta Responder a este mensaje
#2 pribas
08/05/2009 - 12:07 | Informe spam
On 8 mayo, 11:37, "Javier Inglés [MS MVP]"
wrote:
Tal y como te dice el mensaje de advertencia (que no de error), y como te
detalla el KB al que hace referencia, simplemente te indica que tu AD no
tiene habilitado un certificado para hacer conexiones LDAP seguras (por
hacer un símil, igual que si tienes HTTP ó HTTPS para un acceso web).

Si quieres hacer uso de LDAP con conexiones seguras, deberás instalar un
certificado para ello; este mensaje efectivamnete es nuevo en los DCs de
2008 y son a título informativo únicamente (el SASL se pueed usar desde 2000
pero siempre por defecto han sido conexiones LDAP anónimas)

Salu2!!
Javier Ingléshttps://mvp.support.microsoft.com/...209-2CB...
MS MVP, Windows Server-Directory Services



escribió en el mensajenews:
Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
me he encuentro que este error se va repitiendo cada x tiempo.
El servidor es el primer DC de la organización y es DNS, GC, FS.

Es un error para alertarse? o es simplemente información.

Nombre de registro:Directory Service
Origen:        Microsoft-Windows-ActiveDirectory_DomainService
Fecha:         08/05/2009 9:54:29
Id. del evento:2886
Categoría de la tarea:Interfaz LDAP
Nivel:         Advertencia
Palabras clave:Clásico
Usuario:       ANONYMOUS LOGON
Equipo:        Servidor.dominio.local
Descripción:
La seguridad de este servidor de directorio puede mejorar de forma
notable si se configura el servidor para que rechace los enlaces LDAP
de tipo SASL  (Negotiate, Kerberos, NTLM o Digest) que no soliciten
ninguna firma  (comprobación de integridad) y los enlaces LDAP simples
que se realizan en una conexión de texto no cifrado (sin cifrado SSL/
TLS). Aunque no haya ningún cliente usando dichos enlaces, si
configura el servidor para que los rechace, mejorará la seguridad de
este servidor.

Es probable que algunos clientes se basen actualmente en enlaces SASL
sin  firmar o en enlaces LDAP simples a través de una conexión que no
sea SSL/TLS, y  dejarán de funcionar si se realiza este cambio de
configuración. Para ayudarle a identificar estos clientes, si se
realizan enlaces de este tipo, este servidor  de directorio registrará
un evento de resumen cada 24 horas que indique cuántos enlaces de este
tipo se han realizado. Es conveniente que configure estos clientes
para que no usen este tipo de enlaces. Cuando deje de observar este
tipo de eventos durante un largo período, es recomendable que
configure el servidor para que rechace este tipo de enlaces.

Para obtener más detalles e información sobre cómo realizar este
cambio de configuración en el servidor, consultehttp://go.microsoft.com/fwlink/?LinkID‡923.

Puede habilitar un registro adicional para registrar un evento cada
vez que un cliente realice un enlace de este tipo que incluya
información sobre el cliente que realizó el enlace. Para ello, aumente
el valor de la categoría de registro de eventos "Eventos de interfaz
LDAP" al nivel 2 o a un nivel superior.
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/20...">
  <System>
    <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS
General" />
    <EventID Qualifiers="32768">2886</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>16</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8080000000000000</Keywords>
    <TimeCreated SystemTime="2009-05-08T07:54:29.125Z" />
    <EventRecordID>111</EventRecordID>
    <Correlation />
    <Execution ProcessID="588" ThreadID="808" />
    <Channel>Directory Service</Channel>
    <Computer>Servidor.dominio.local</Computer>
    <Security UserID="S-1-5-7" />
  </System>
  <EventData>
  </EventData>
</Event>



Ok, perfecto. Muchisimas gracias Javier.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida