Microsoft schaltet LDAP-Ports 389 und 3268 (Global Catalog) ab
Lesedauer: 2 Minuten.
Microsoft plant mit den März Updates wichtige Änderungen für Domain Controller, die Auswirkungen auf Programme, die LDAP- oder Global Catalog Zugriffe auf das Active Directory benötigen, haben werden.
Microsoft beabsichtigt durch Updates im März 2020 LDAP, Channelbinding und LDAP Signing für Domain Controller zu aktivieren, um ungesicherte Verbindungen zu verhindern und gesicherte Verbindungen zu erzwingen. Dies bedeutet:
Ungesicherte Verbindungen gegen die beiden Standard LDAP-Ports 389 und 3268 (Global Catalog) werden nach dem Update abgelehnt.
Anwendungen und Geräte (z.B. eine Firewall, ein Mailgateway, Drucker) die Active Directory mittels LDAP abfragen, können die LDAP-Schnittstelle der Domain Controller nicht mehr kontaktieren, weil sie die Standard Ports 389 oder 3268 verwenden und damit keine gesicherte Anmeldung mehr durchführen können.
- Möglicher Weise sind die Domain Controller selbst nicht in der Lage die benötigten Funktionen zu unterstützen, weil sie über keine SSL-Zertifikate verfügen, denen die LDAP-Clients vertrauen.
- Windows Computer aus dem Active Directory sind von der Änderung nicht betroffen.
- Verbindungen die schon über SSL/TLS (LDAP-Ports 636 und 3269 (Global Catalog) erfolgen sind von der Änderung nicht betroffen.
Es sind erhebliche Einschränkungen zu erwarten, wenn die angekündigten Änderungen mit den Updates im März 2020 auf Domain Controllern installiert werden, ohne dass die Verbindungen im Vorfeld auf SSL/TLS Verbindungen umgestellt wurden.
Nachfolgende Betriebssysteme sind betroffen:
Windows Server 2008 SP2,
Windows 7 SP1,
Windows Server 2008 R2 SP1,
Windows Server 2012,
Windows 8.1,
Windows Server 2012 R2,
Windows 10 1507,
Windows Server 2016,
Windows 10 1607,
Windows 10 1703,
Windows 10 1709,
Windows 10 1803,
Windows 10 1809,
Windows Server 2019,
Windows 10 1903,
Windows 10 1909
Nachtrag vom 06.02.2020:
Microsoft hat klargestellt, dass die Windows-Updates im März neue Audit-Ereignisse und Protokollierung eingeführt und eine Neuzuordnung von Gruppenrichtlinienwerten hinzugefügt wird die die LDAP-Kanalbindung und LDAP-Signatur verbessern. Die Aktualisierungen vom März 2020 nehmen keine Änderungen an LDAP-Signierungs- oder Kanalbindungsrichtlinien oder deren Registrierungsäquivalent auf neuen oder vorhandenen Domänencontrollern vor.
Ein Update , welches voraussichtlich in der zweiten Hälfte des Kalenderjahres 2020 veröffentlicht wird, wird die LDAP-Signierung und Kanalbindung auf Domänencontrollern ermöglichen, die mit Standardwerten für diese Einstellungen konfiguriert sind. Die Aktualisierung kann verhindert werden, indem entweder die LDAP-Signatur und Kanalbindung JETZT aktiviert wird oder indem vor der Installation der Updates, welche die LDAP-Signatur und Kanalbindung standardmäßig aktivieren, Nicht-Standardwerte konfiguriert werden.
Weitere Informationen finden sie im Blog von Microsoft.
Gerne können Sie uns zu allen Belangen bzgl. Microsoft kontaktieren! Wir helfen Ihnen weiter!
