Windows 2008 サーバーでのユーザ id グループマッピング
19718
Created On 09/25/18 19:43 PM - Last Modified 03/26/21 16:54 PM
Symptom
LDAP2008 ドメイン コントローラが単純なバインド要求を許可しない場合、グループ マッピングの構成は失敗します LDAP 。 Active Directory ルート オブジェクトを展開してグループを参照しようとすると、エラー メッセージ "Strong(er) 認証が必要です" が表示されます。
Environment
- Windows 2008 サーバー。
- LDAP グループ マッピング。
- パロ アルト Firewall .
- PAN-OS 7.1以上。
Cause
このエラーは、ドメイン コントローラーの既定 LAN の Manager 認証レベル設定が [署名のネゴシエート] または [拒否と接続] に設定されている場合に発生することがあります LM NTLM 。 この設定は、グループで上記の設定を適用する Hisecdc.inf セキュリティ テンプレートを適用すると自動的に適用 Policy されます。
Resolution
解決するには、(サーバー プロファイル) で使用されるドメイン コントローラで次の手順を実行 firewall LDAP します。
- グループ Policy オブジェクト エディタで、[コンピュータの構成] > [Windows の設定] > [セキュリティの設定] >ローカル ポリシー>セキュリティ オプションを選択します。
- このセクションでは、次のエントリを検索します。
- ドメイン コントローラ: LDAP サーバー署名の要件。
- ネットワーク セキュリティ: LDAP クライアント署名の要件。
- 単純なバインドを有効にするには、上記を次のように設定します。
- ドメイン コントローラー: LDAP サーバー署名要件 = なし
- ネットワーク セキュリティ: LDAP クライアント署名要件 = ネゴシエート
Additional Information
注: この手順は、Windows 2012 サーバーでも機能します。