Microsoft 计划对 LDAP 签名进行的更改将影响 Empower 中的非 SSL/TLS LDAP 验证 - WKB88530

故障描述

• 使用非 SSL/TLS LDAP 的 Empower 验证操作失败。系统将显示错误信息：“Not enough storage is available to process this command. : User - username”（存储空间不足，无法处理此命令。：用户 - 用户名）。
• 使用“总是本地”帐户的 Empower 用户可以成功登录。

环境

• 已将 Empower 环境配置为使用非 SSL/TLS LDAP 验证方法进行验证
• Empower 2 FR5 及更高版本
• Empower 3 软件

原因

2020 年 3 月发布的 Windows 更新将添加新的审计事件、额外的日志记录和组策略值的重新映射，从而能够强化 LDAP 通道绑定和 LDAP 签名。2020 年 3 月发布的更新不会对新的或现有域控制器上的 LDAP 签名或通道绑定策略或其等效注册表进行更改。未来的月度更新预计将在 2020 年下半年发布，将在使用这些设置的缺省值配置的域控制器上启用 LDAP 签名和通道绑定

2020 年 3 月 Microsoft 补丁

ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing（《Microsoft LDAP 通道绑定与 LDAP 签名启用指南》）

解决方法

• 在 Empower 的 LDAP 配置中启用 SSL/TLS 安全，或者
• 根据 KB935834 中的 Microsoft 指南，设置组策略，将 LDAP 服务器签名要求配置为“无”。

附加信息