Windows DCでは、イベントID 3039(AD LDAP接続のチャネルバインドを試行)が有効になっていることが報告されます
環境
- ONTAP 9.x
- CIFS
- LDAPSまたはstart-TLSです
問題
- ONTAP 9.10.1以降では、AD-LDAP over TLSのチャネルバインディングがサポートされるようになりました
- AD LDAP接続のチャネルバインドの試行はデフォルトで有効になっています。
cluster1::> cifs security show -vserver svm1
Vserver: svm1
Kerberos Clock Skew: - minutes
Kerberos Ticket Age: - hours
Kerberos Renewal Age: - days
Kerberos KDC Timeout: - seconds
Is Signing Required: -
Is Password Complexity Required: -
Use start_tls for AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: -
Client Session Security: none
SMB1 Enabled for DC Connections: false
SMB2 Enabled for DC Connections: system-default
LDAP Referral Enabled For AD LDAP connections: false
Use LDAPS for AD LDAP connection: true
Encryption is required for DC Connections: false
AES session key enabled for NetLogon channel: false
Try Channel Binding For AD LDAP Connections: true
- このシナリオでは、チャネルバインディングが有効になっていても、Windows DCは イベントID 3039を報告します。
The following client performed an LDAP bind over SSL/TLS and failed the LDAP channel binding token validation.