大家好,
微軟將會再2020/3月發佈安全性更新,說要強制使用LDAPS讓AD更安全。
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/ADV190023
微軟有提供手動設定的方法讓我們能再發佈更新前先做測試:
1.LDAP 通道繫結:使用 LdapEnforceChannelBinding 登錄機碼
https://support.microsoft.com/zh-tw/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
2.LDAP 簽署:使用GPO來做更改
https://support.microsoft.com/zh-tw/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
我有一些問題要請教大家:
1.我在registry裡面沒有看到LdapEnforceChannelBinding這個參數,所以這個是手動加進來嗎?
2.公司的環境:server 2012 R2做AD,Exchange 2010 SP3。如果更改了這些設定,我最擔心的是Exchange會不會受到甚麼影響? 雖然我覺得Exchange應該不會用LDAP做認證,但是還是會怕怕的..
3.萬一到時候真的有任何問題,是不是只要把上述的動作rollback,應該就能回到之前的設定?