Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken

Diese Sicherheitseinstellung bestimmt, ob der LDAP-Server die Validierung von Kanalbindungstoken in empfangenen LDAP-Bindungsanforderungen erzwingt, die über LDAPS-Verbindungen gesendet wurden.

  • Nie: Es wird keine Überprüfung der Kanalbindung durchgeführt. Dies ist das Verhalten aller Server, die nicht aktualisiert wurden.
  • Wenn unterstützt: Clients, die Unterstützung von Kanalbindungstoken anbieten, müssen bei der Authentifizierung über TLS/SSL-Verbindungen das richtige Token bereitstellen. Clients, die keinen solchen Support anbieten und/oder keine TLS/SSL-Verbindungen verwenden, sind nicht betroffen. Dies ist eine Zwischenoption, die Anwendungskompatibilität ermöglicht.
  • Immer: Alle Clients müssen Informationen zur Kanalbindung über LDAPS bereitstellen. Der Server lehnt LDAPS-Authentifizierungsanforderungen von anderen Clients ab.

Standard: Diese Richtlinie ist nicht definiert. Dies hat die gleichen Auswirkungen wie "Wenn unterstützt".

Weitere Details und Informationen zu dieser Konfigurationseinstellung finden Sie unter https://go.microsoft.com/fwlink/?linkid=2102405.

Hinweis:
Die Option "Wenn unterstützt" schützt nur die Clients, die den erweiterten Authentifizierungsschutz unterstützen. Andere Clients sind möglicherweise solange gefährdet, bis sie gepatcht und/oder konfiguriert werden. Wenn diese Richtlinie auf "Immer" festgelegt ist, können XP/2k3/Vista/Server 2008-Systeme standardmäßig nur dann über TLS/SSL-Verbindungen authentifizieren, wenn der erweiterte Schutz für die Authentifizierung gemäß https://docs.microsoft.com/en-us/security-updates/securityadvisories/2009/973811 aktiviert ist.

Regsitry Key: HKLM\System\CurrentControlSet\Services\NTDS\Parameters
Registry Value: LdapEnforceChannelBinding
Secedit: n/a