Microsoft 计划对 LDAP 签名进行的更改将影响 Empower 中的非 SSL/TLS LDAP 验证 - WKB88530
文章编号: 88530点击此处访问英文版本文章
故障描述
- 使用非 SSL/TLS LDAP 的 Empower 验证操作失败。系统将显示错误信息:“Not enough storage is available to process this command. : User - username”(存储空间不足,无法处理此命令。:用户 - 用户名)。
- 使用“总是本地”帐户的 Empower 用户可以成功登录。
环境
- 已将 Empower 环境配置为使用非 SSL/TLS LDAP 验证方法进行验证
- Empower 2 FR5 及更高版本
- Empower 3 软件
原因
2020 年 3 月发布的 Windows 更新将添加新的审计事件、额外的日志记录和组策略值的重新映射,从而能够强化 LDAP 通道绑定和 LDAP 签名。2020 年 3 月发布的更新不会对新的或现有域控制器上的 LDAP 签名或通道绑定策略或其等效注册表进行更改。未来的月度更新预计将在 2020 年下半年发布,将在使用这些设置的缺省值配置的域控制器上启用 LDAP 签名和通道绑定
ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing(《Microsoft LDAP 通道绑定与 LDAP 签名启用指南》)
解决方法
- 在 Empower 的 LDAP 配置中启用 SSL/TLS 安全,或者
- 根据 KB935834 中的 Microsoft 指南,设置组策略,将 LDAP 服务器签名要求配置为“无”。
附加信息
id88530,