イベントログを眺めていたら、LDAPバインドに関するエラーが出ていたため、
原因調査・対応をしたときのメモ。

■環境

• WindowsServer2008 R2
• ActiveDirectory構築済

■イベントログ

レベル	エラー
ソース	Microsoft-Windows-PrintService
イベントID	322

過去 24 時間の間に、一部のクライアントが以下のいずれかの LDAP バインドを実行しようと試みました:
(1) 署名 (整合性の確認) を要求しない SASL (ネゴシエート、Kerberos、NTLM、またはダイジェスト) LDAP バインド、または
(2) クリアテキスト (SSL/TLS 暗号化がされていない) 接続に対して実行された LDAP 簡易バインド

このディレクトリ サーバーは現在これらのバインドを拒否するように設定されていません。このディレクトリ サーバーのセキュリ ティは、これらのバインドを拒否することで大幅に強化されます。サーバーの構成を変更する方法について詳しくは、 http://go.microsoft.com/fwlink/?LinkID=87923 を参照してください。

過去 24 時間に受信した、これらのバインドの数の概要については、以下を参照してください。

追加のログ作成を有効にして、該当するバインドをクライアントが作成するたびに、バインドの作成元のクライアントの 情報も含め、イベントが記録されるようにすることもできます。これを行うには、"LDAP Interface Events" イベント ログ カテゴリの 設定をレベル 2 以上に上げてください。

SSL/TLS を使用せずに実行された簡易バインドの数: 0
署名なしで実行されたネゴシエート/Kerberos/NTLM/ダイジェスト バインドの数: 4

■原因調査・対応
TechNetにイベントIDに関する記載あり。
TechNet - Event ID 2887 ― LDAP signing

この中で、「署名なしで実行したバインドユーザー」を知る方法があったため、
まずはそちらを設定し、誰がどのように接続しているのかを確認する。

管理者のコマンドプロンプトにて、以下を入力し、
Active Directory の診断イベント ログ出力のためのレジストリ情報を変更する*1。
(すでにエントリはあるはずなので、入力後の確認は「Y」となる)

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

■参考
以下のBlogにも問題ないとの記載あり。
ただし、「簡易バインド：あり・署名なしバインド：なし」とあり、
手元の環境とは状態が異なっていた。
Snowfall~雪はどれだけ積もったか - Windowsイベントログの解析（4）

こちらの記事では、簡易バインドに関するトラブルシューティングと対応の記載あり。
アプ研 - ActiveDirectory DomainService Event:2886 の対処

署名LDAPを有効にする場合は、以下のKBを参照のこと。
Microsoft KB935834 - Windows Server 2008 での署名 LDAP を有効にする方法