読者です 読者をやめる 読者になる 読者になる

WindowsServer2008R2で、イベントログに「ID:2887」が表示される (ActiveDirectory_DomainService)

Windows イベントログ

イベントログを眺めていたら、LDAPバインドに関するエラーが出ていたため、
原因調査・対応をしたときのメモ。


■環境

  • WindowsServer2008 R2
  • ActiveDirectory構築済


■イベントログ

レベル エラー
ソース Microsoft-Windows-PrintService
イベントID 322

過去 24 時間の間に、一部のクライアントが以下のいずれかの LDAP バインドを実行しようと試みました:
(1) 署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM、またはダイジェスト) LDAP バインド、または
(2) クリアテキスト (SSL/TLS 暗号化がされていない) 接続に対して実行された LDAP 簡易バインド

このディレクトリ サーバーは現在これらのバインドを拒否するように設定されていません。このディレクトリ サーバーのセキュリ ティは、これらのバインドを拒否することで大幅に強化されます。サーバーの構成を変更する方法について詳しくは、 http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。

過去 24 時間に受信した、これらのバインドの数の概要については、以下を参照してください。

追加のログ作成を有効にして、該当するバインドをクライアントが作成するたびに、バインドの作成元のクライアントの 情報も含め、イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリの 設定をレベル 2 以上に上げてください。

SSL/TLS を使用せずに実行された簡易バインドの数: 0
署名なしで実行されたネゴシエート/Kerberos/NTLM/ダイジェスト バインドの数: 4


■原因調査・対応
TechNetにイベントIDに関する記載あり。
TechNet - Event ID 2887 ― LDAP signing


この中で、「署名なしで実行したバインドユーザー」を知る方法があったため、
まずはそちらを設定し、誰がどのように接続しているのかを確認する。


管理者のコマンドプロンプトにて、以下を入力し、
Active Directory の診断イベント ログ出力のためのレジストリ情報を変更する*1
(すでにエントリはあるはずなので、入力後の確認は「Y」となる)

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2


■参考
以下のBlogにも問題ないとの記載あり。
ただし、「簡易バインド:あり・署名なしバインド:なし」とあり、
手元の環境とは状態が異なっていた。
Snowfall~雪はどれだけ積もったか - Windowsイベントログの解析(4)


こちらの記事では、簡易バインドに関するトラブルシューティングと対応の記載あり。
アプ研 - ActiveDirectory DomainService Event:2886 の対処


署名LDAPを有効にする場合は、以下のKBを参照のこと。
Microsoft KB935834 - Windows Server 2008 での署名 LDAP を有効にする方法

*1:Windows2000時代のKBだが、パラメーターの説明はKB314980が参考になる。