Created On 09/25/18 19:43 PM - Last Modified 03/26/21 16:54 PM
Symptom
Der Versuch, die Gruppenzuordnung zu LDAP konfigurieren, schlägt fehl, wenn der Domänencontroller 2008 keine einfachen LDAP Bindungsanforderungen zulässt. Wenn Sie versuchen, das Active Directory-Stammobjekt zu erweitern, um zu den Gruppen zu navigieren, wird die Fehlermeldung "Strong(er)-Authentifizierung erforderlich" angezeigt.
Environment
Windows 2008-Server.
LDAP Gruppenzuordnungen.
Palo Alto Firewall .
PAN-OS 7.1 und höher.
Cause
Der Fehler kann auftreten, wenn die LAN Standardeinstellung der Standard-Manager-Authentifizierungsebene des Domänencontrollers auf Signieren erforderlich (im Gegensatz zum Signieren aushandeln) oder "Verweigern & Verbindungen" festgelegt LM NTLM ist. Diese Einstellung wird automatisch angewendet, wenn Die Sicherheitsvorlage Hisecdc.inf angewendet wird, die die obige Einstellung in Gruppe Policy erzwingt.
Resolution
Um das Problem zu beheben, führen Sie dieses Verfahren auf dem Domänencontroller aus, der vom firewall LDAP (Serverprofil) verwendet wird:
Wählen Sie im Policy Gruppenobjekt-Editor Folgendes aus: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > lokale Richtlinien > Sicherheitsoptionen
In diesem Abschnitt Suchen Sie nach folgenden Einträgen:
Domänencontroller: LDAP Anforderungen an die Serversignatur.
Netzwerksicherheit: LDAP Anforderungen an die Clientsignatur.
Um einfache Bindungen zu ermöglichen, setzen Sie die oben genannten wie folgt:
Domänencontroller: LDAP Serversignaturanforderungen = Keine
Netzwerksicherheit: LDAP Anforderungen an die Clientsignatur = Verhandeln
Additional Information
Hinweis: Das Verfahren funktioniert auch für Windows 2012 Server.