Error LDAP

[pri...@gmail.com]

Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
me he encuentro que este error se va repitiendo cada x tiempo.
El servidor es el primer DC de la organización y es DNS, GC, FS.

Es un error para alertarse? o es simplemente información.

Nombre de registro:Directory Service
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 08/05/2009 9:54:29
Id. del evento:2886
Categoría de la tarea:Interfaz LDAP
Nivel: Advertencia
Palabras clave:Clásico
Usuario: ANONYMOUS LOGON
Equipo: Servidor.dominio.local
Descripción:
La seguridad de este servidor de directorio puede mejorar de forma
notable si se configura el servidor para que rechace los enlaces LDAP
de tipo SASL (Negotiate, Kerberos, NTLM o Digest) que no soliciten
ninguna firma (comprobación de integridad) y los enlaces LDAP simples
que se realizan en una conexión de texto no cifrado (sin cifrado SSL/
TLS). Aunque no haya ningún cliente usando dichos enlaces, si
configura el servidor para que los rechace, mejorará la seguridad de
este servidor.

Es probable que algunos clientes se basen actualmente en enlaces SASL
sin firmar o en enlaces LDAP simples a través de una conexión que no
sea SSL/TLS, y dejarán de funcionar si se realiza este cambio de
configuración. Para ayudarle a identificar estos clientes, si se
realizan enlaces de este tipo, este servidor de directorio registrará
un evento de resumen cada 24 horas que indique cuántos enlaces de este
tipo se han realizado. Es conveniente que configure estos clientes
para que no usen este tipo de enlaces. Cuando deje de observar este
tipo de eventos durante un largo período, es recomendable que
configure el servidor para que rechace este tipo de enlaces.

Para obtener más detalles e información sobre cómo realizar este
cambio de configuración en el servidor, consulte
http://go.microsoft.com/fwlink/?LinkID=87923.

Puede habilitar un registro adicional para registrar un evento cada
vez que un cliente realice un enlace de este tipo que incluya
información sobre el cliente que realizó el enlace. Para ello, aumente
el valor de la categoría de registro de eventos "Eventos de interfaz
LDAP" al nivel 2 o a un nivel superior.
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS
General" />
<EventID Qualifiers="32768">2886</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>16</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2009-05-08T07:54:29.125Z" />
<EventRecordID>111</EventRecordID>
<Correlation />
<Execution ProcessID="588" ThreadID="808" />
<Channel>Directory Service</Channel>
<Computer>Servidor.dominio.local</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
</EventData>
</Event>

[Javier Ingl�s [MS MVP]]

Tal y como te dice el mensaje de advertencia (que no de error), y como te
detalla el KB al que hace referencia, simplemente te indica que tu AD no
tiene habilitado un certificado para hacer conexiones LDAP seguras (por
hacer un s�mil, igual que si tienes HTTP � HTTPS para un acceso web).

Si quieres hacer uso de LDAP con conexiones seguras, deber�s instalar un
certificado para ello; este mensaje efectivamnete es nuevo en los DCs de
2008 y son a t�tulo informativo �nicamente (el SASL se pueed usar desde 2000
pero siempre por defecto han sido conexiones LDAP an�nimas)

--
Salu2!!
Javier Ingl�s
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

<pri...@gmail.com> escribi� en el mensaje
news:688eb7c7-2757-4a48...@b1g2000vbc.googlegroups.com...

Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
me he encuentro que este error se va repitiendo cada x tiempo.

El servidor es el primer DC de la organizaci�n y es DNS, GC, FS.

Es un error para alertarse? o es simplemente informaci�n.

Nombre de registro:Directory Service
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 08/05/2009 9:54:29
Id. del evento:2886

Categor�a de la tarea:Interfaz LDAP
Nivel: Advertencia
Palabras clave:Cl�sico

Usuario: ANONYMOUS LOGON
Equipo: Servidor.dominio.local

Descripci�n:

La seguridad de este servidor de directorio puede mejorar de forma
notable si se configura el servidor para que rechace los enlaces LDAP
de tipo SASL (Negotiate, Kerberos, NTLM o Digest) que no soliciten

ninguna firma (comprobaci�n de integridad) y los enlaces LDAP simples
que se realizan en una conexi�n de texto no cifrado (sin cifrado SSL/
TLS). Aunque no haya ning�n cliente usando dichos enlaces, si
configura el servidor para que los rechace, mejorar� la seguridad de
este servidor.

Es probable que algunos clientes se basen actualmente en enlaces SASL

sin firmar o en enlaces LDAP simples a trav�s de una conexi�n que no
sea SSL/TLS, y dejar�n de funcionar si se realiza este cambio de
configuraci�n. Para ayudarle a identificar estos clientes, si se
realizan enlaces de este tipo, este servidor de directorio registrar�
un evento de resumen cada 24 horas que indique cu�ntos enlaces de este

tipo se han realizado. Es conveniente que configure estos clientes
para que no usen este tipo de enlaces. Cuando deje de observar este

tipo de eventos durante un largo per�odo, es recomendable que

configure el servidor para que rechace este tipo de enlaces.

Para obtener m�s detalles e informaci�n sobre c�mo realizar este
cambio de configuraci�n en el servidor, consulte
http://go.microsoft.com/fwlink/?LinkID=87923.

Puede habilitar un registro adicional para registrar un evento cada
vez que un cliente realice un enlace de este tipo que incluya

informaci�n sobre el cliente que realiz� el enlace. Para ello, aumente
el valor de la categor�a de registro de eventos "Eventos de interfaz

[pri...@gmail.com]

On 8 mayo, 11:37, "Javier Inglés [MS MVP]" <jing...@NOSPAMmvps.org>
wrote:

> Tal y como te dice el mensaje de advertencia (que no de error), y como te
> detalla el KB al que hace referencia, simplemente te indica que tu AD no
> tiene habilitado un certificado para hacer conexiones LDAP seguras (por

> hacer un símil, igual que si tienes HTTP ó HTTPS para un acceso web).
>
> Si quieres hacer uso de LDAP con conexiones seguras, deberás instalar un

> certificado para ello; este mensaje efectivamnete es nuevo en los DCs de

> 2008 y son a título informativo únicamente (el SASL se pueed usar desde 2000
> pero siempre por defecto han sido conexiones LDAP anónimas)
>
> --
> Salu2!!
> Javier Ingléshttps://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB...

> MS MVP, Windows Server-Directory Services
>

> jing...@NOSPAMmvps.org
>
> <pri...@gmail.com> escribió en el mensajenews:688eb7c7-2757-4a48...@b1g2000vbc.googlegroups.com...

> Hola a todos, estoy instalando un Windows 2008 sobre un server nuevo y
> me he encuentro que este error se va repitiendo cada x tiempo.

> El servidor es el primer DC de la organización y es DNS, GC, FS.
>
> Es un error para alertarse? o es simplemente información.

>
> Nombre de registro:Directory Service
> Origen:        Microsoft-Windows-ActiveDirectory_DomainService
> Fecha:         08/05/2009 9:54:29
> Id. del evento:2886

> Categoría de la tarea:Interfaz LDAP
> Nivel:         Advertencia
> Palabras clave:Clásico

> Usuario:       ANONYMOUS LOGON
> Equipo:        Servidor.dominio.local

> Descripción:

> La seguridad de este servidor de directorio puede mejorar de forma
> notable si se configura el servidor para que rechace los enlaces LDAP
> de tipo SASL  (Negotiate, Kerberos, NTLM o Digest) que no soliciten

> ninguna firma  (comprobación de integridad) y los enlaces LDAP simples
> que se realizan en una conexión de texto no cifrado (sin cifrado SSL/
> TLS). Aunque no haya ningún cliente usando dichos enlaces, si
> configura el servidor para que los rechace, mejorará la seguridad de

> este servidor.
>
> Es probable que algunos clientes se basen actualmente en enlaces SASL

> sin  firmar o en enlaces LDAP simples a través de una conexión que no
> sea SSL/TLS, y  dejarán de funcionar si se realiza este cambio de
> configuración. Para ayudarle a identificar estos clientes, si se
> realizan enlaces de este tipo, este servidor  de directorio registrará
> un evento de resumen cada 24 horas que indique cuántos enlaces de este

> tipo se han realizado. Es conveniente que configure estos clientes
> para que no usen este tipo de enlaces. Cuando deje de observar este

> tipo de eventos durante un largo período, es recomendable que

> configure el servidor para que rechace este tipo de enlaces.
>

> Para obtener más detalles e información sobre cómo realizar este

> cambio de configuración en el servidor, consultehttp://go.microsoft.com/fwlink/?LinkID=87923.

>
> Puede habilitar un registro adicional para registrar un evento cada
> vez que un cliente realice un enlace de este tipo que incluya

> información sobre el cliente que realizó el enlace. Para ello, aumente
> el valor de la categoría de registro de eventos "Eventos de interfaz

> LDAP" al nivel 2 o a un nivel superior.
> XML de evento:
> <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
>   <System>
>     <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService"
> Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS
> General" />
>     <EventID Qualifiers="32768">2886</EventID>
>     <Version>0</Version>
>     <Level>3</Level>
>     <Task>16</Task>
>     <Opcode>0</Opcode>
>     <Keywords>0x8080000000000000</Keywords>
>     <TimeCreated SystemTime="2009-05-08T07:54:29.125Z" />
>     <EventRecordID>111</EventRecordID>
>     <Correlation />
>     <Execution ProcessID="588" ThreadID="808" />
>     <Channel>Directory Service</Channel>
>     <Computer>Servidor.dominio.local</Computer>
>     <Security UserID="S-1-5-7" />
>   </System>
>   <EventData>
>   </EventData>
> </Event>

Ok, perfecto. Muchisimas gracias Javier.