unknown
29 lines
1.0 KiB
Plaintext
29 lines
1.0 KiB
Plaintext
# LDAP Signing komplett deaktivieren
|
|
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 0 -Type DWord
|
|
|
|
# Channel Binding ebenfalls deaktivieren (falls aktiv)
|
|
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LdapEnforceChannelBinding" -Value 0 -Type DWord
|
|
|
|
# NTDS neu starten
|
|
Restart-Service NTDS -Force
|
|
|
|
# Optional: GPO-Refresh erzwingen falls eine Policy das ueberschreibt
|
|
gpupdate /force
|
|
|
|
|
|
|
|
|
|
|
|
# 1. Pruefen ob der Registry-Wert tatsaechlich gesetzt ist
|
|
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" | Select-Object LDAPServerIntegrity, LdapEnforceChannelBinding
|
|
|
|
# 2. Effektive GPO-Einstellung pruefen
|
|
gpresult /r /scope:computer | Select-String -Pattern "LDAP|ldap"
|
|
|
|
# 3. Oder: Die lokale Security Policy direkt aendern
|
|
# secpol.msc -> Local Policies -> Security Options ->
|
|
# "Domain controller: LDAP server signing requirements" -> "None"
|
|
|
|
# 4. Nach GPO-Aenderung:
|
|
gpupdate /force
|
|
Restart-Service NTDS -Force |