14 июня 2013 в 15:39
EventID - Код: 2887 В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно....
Проблема:
В журнале событий контроллера домена переодически появляются сообщения со следующим содержимым:
EventID - Код: 2887 В течение предыдущего 24-часового периода некоторые клиенты пытались выполнить привязки LDAP, а именно....
Причина:
Причина в том, что есть пользователи которые пытаются авторизоваться без подписи. Если говорить проще, то не безопасно.
Решение:
В любом случае сначала надо понять, что это за пользователи, для этого необходимо проделать следующие шаги(далее вольный перевод части статьи с Technet):
- Сначала необходимо запустить командную строку от имени администратора. Для этого заходим в меню пуск, в строке поиска начинаем вводить «коман», в результатах поиска нажимаем правой кнопкой мышки на командной строке и выбираем запустить от имени Администратора. Нажимаем продолжить в появившемся диалоговом окне.
- Введите следующий текст в командную строку и нажмите клавишу Ввод: Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
- Когда выйдет сообщение о том что необходимо перезаписать уже существующую запись, введите Y и нажмите Ввод.
- Теперь используя журнал событий, по сообщениям с ID 2889, которые буду записываться в момент привязки запросов без подписи в LDAP. Событие будет содержать информацию о IP адресе и имени аккаунта при попытке авторизации.
- После того как вы найдете пользователей которые используют неподписанные связи, вы можете отключить логирование этого события, для этого введите следующую команду: Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 0
- Ну и согласитесь перезаписать старое значение, введя Y и нажав Ввод.