Início > Windows Server > Contornando o “Event ID 2886” no Windows Server 2008

Contornando o “Event ID 2886” no Windows Server 2008

sexta-feira, 19 dez 2008 @ 1:05 PM Deixe um comentário Go to comments

Se você fica incomodado com todo e qualquer alarme que surge no Server Manager quando finaliza a instalação do Windows Server 2008, ou de uma de suas funções, segue detalhes eliminar o Event ID 2886 do seu Log de Eventos.

Quando concluímos a adição da função de Active Directory Domain Service em um Windows Server 2008, encontramos um alerta na console do Server Manager, e ao fazermos um Drill Down teremos o Event ID 2886. Este alerta é registrado toda vez que iniciamos/reiniciamos o sistema operacional.


Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2886
Task Category: LDAP Interface
Level: Warning
Description: The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate,  Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that  are performed on a cleartext (non-SSL/TLS-encrypted) connection.  Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.
….

Este alerta ocorre porque o ambiente é by design projetado para compatibilidade do tráfego LDAP com clientes, serviços, e aplicações que não foram modificadas para o suporte a este recurso. Para configurarmos o ambiente para que este alerta deixe de ser registrado, teremos que realizar duas modificações, usando o Group Policy Management, na política de grupo Default Domain Controllers Policy, que é a GPO padrão do domínio. Segue abaixo como as duas entradas deverão estar configuradas:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

Domain controller: LDAP server signing requirements = “Require signing”

 

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

Network Security: LDAP client signing requirements = “Negotiate signing”

Salientando, estas mudanças obrigam (escopo de domínio) ou haverá negociação (escopo de rede) que o tráfego LDAP seja assinado. Mudando estes parâmetros poderá ocorrer incompatibilidade em alguns clientes, serviços ou aplicações. Entretanto, modificando estas configurações, ganhamos na segurança do ambiente.

Para melhor entendimento, recomendo consultar o seguinte KB823659 e, testar aplicações e sistemas antes de realizar as mudanças acima em um ambiente de produção.

Jonildo Santos
MCT/MCITP

Categorias:Windows Server
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: