Asignación de grupo de ID de usuario con Windows 2008 Server
19726
Created On 09/25/18 19:43 PM - Last Modified 03/26/21 16:53 PM
Symptom
Se produce un error al intentar configurar LDAP la asignación de grupos si el controlador de dominio de 2008 no permite LDAP solicitudes de enlace simples. Al intentar expandir el objeto raíz de Active Directory para examinar los grupos, se muestra el mensaje de error: "Se muestra la autenticación strong(er) necesaria".
Environment
- Windows 2008 Server.
- LDAP Asignaciones de grupo.
- Palo Alto Firewall .
- PAN-OS 7.1 y superior.
Cause
El error puede producirse si la configuración de nivel de autenticación predeterminada del Administrador de controladores de dominio LAN se establece en Requerir firma (en lugar de negociar firma) o Rechazar LM NTLM &conexiones. Esta configuración se aplica automáticamente al aplicar la plantilla de seguridad Hisecdc.inf que aplica la configuración anterior en Grupo Policy .
Resolution
Para resolver, siga este procedimiento en el controlador de dominio utilizado por el firewall ( LDAP perfil del servidor):
- En el Policy Editor de objetos de grupo, seleccione lo siguiente: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad
- En esta sección, busque las siguientes entradas:
- Controlador de dominio: LDAP requisitos de firma de servidor.
- Seguridad de red: LDAP requisitos de firma de cliente.
- Para habilitar los enlaces simples, defina lo anterior de la siguiente manera:
- Controlador de dominio: LDAP requisitos de firma del servidor = Ninguno
- Seguridad de red: LDAP requisitos de firma de clientes = Negociar
Additional Information
Nota: El procedimiento también funcionará para Windows 2012 Server.