如何在 Windows Server 2008 中 启用 LDAP 签名

使用组策略

如何将服务器设置 LDAP 签名要求

1. 单击开始、 单击运行、 键入mmc.exe，然后单击确定。

2. 在文件菜单上单击添加/删除管理单元。

3. 在添加或删除管理单元对话框中单击组策略管理编辑器并单击添加然后。

4. 在选择组策略对象对话框中单击浏览。

5. 在浏览组策略对象对话框中单击域、 Ou 和链接的组策略对象的区域下的默认域策略，然后单击确定。

6. 单击完成。

7. 单击确定。

8. 展开默认域控制器策略、 展开计算机配置、 展开策略、 展开Windows 设置、 展开安全设置、 展开本地策略，然后单击安全选项。

9. 用鼠标右键单击域控制器: LDAP 服务器签名要求，然后单击属性。

10. 在域控制器: LDAP 服务器签名要求属性对话框中定义这个策略设置启用、 单击以选中定义这个策略设置下拉列表中的要求签名，然后单击确定。

11. 在确认设置更改对话框中单击是。

如何设置客户端 LDAP 签名要求通过本地计算机策略

1. 单击开始、 单击运行、 键入mmc.exe，然后单击确定。

2. 在文件菜单上单击添加/删除管理单元。

3. 在添加或删除管理单元对话框中单击组策略对象编辑器并单击添加然后。

4. 单击完成。

5. 单击确定。

6. 展开本地计算机策略、计算机配置、策略、 Windows 设置、安全设置、 展开本地策略，然后单击安全选项。

7. 用鼠标右键单击网络安全: LDAP 客户端签名要求，然后单击属性。

8. 在网络安全: LDAP 客户端签名要求属性对话框中单击以在下拉列表中选择要求签名然后单击确定。

9. 在确认设置更改对话框中单击是。

如何通过一个域组策略对象设置客户端 LDAP 签名要求

1. 单击开始、 单击运行、 键入mmc.exe，然后单击确定。

2. 在文件菜单上单击添加/删除管理单元。

3. 在添加或删除管理单元对话框中单击组策略对象编辑器并单击添加然后。

4. 单击浏览，然后选择默认域策略﴾或您要为其启用客户端 LDAP 签名组策略对象﴿。

5. 单击确定。

6. 单击完成。

7. 单击关闭。

8. 单击确定。

9. 展开默认域策略、 展开计算机配置、 展开Windows 设置、 展开安全设置、 展开本地策略，然后单击安全选项。

10. 在网络安全: LDAP 客户端签名要求属性对话框中单击以在下拉列表中选择要求签名然后单击确定。

11. 在确认设置更改对话框中单击是。

当计算机加入域时出现“拒绝访问”错误消息

要解决此问题，可使用下列任一方法： 1. 使用另外一个计算机名称。

2. 等待 Active Directory 进行复制，或使用以下命令强制进行复制：

repadmin /sync DomainDN目标 DSA GUID._msdcs 源 DSA GUID /force

3. 在加入过程中使用域管理员帐户。

4.向您正在使用的帐户授予附加权限： 1. 启动 Adsiedit.msc。

5. 打开“Domain NC, DC=域, CN=Computers”节点。

3. 单击“计算机”，然后单击“属性”。

4. 在“安全”选项卡上，单击“高级”。

5. 单击“添加”，然后单击适当的用户帐户或组。

6. 在“应用到”框中，单击“计算机对象”。

7. 在“权限”窗格中，单击以选中“写入所有属性”、“重设密码”和“将这些权限只应用到这个容器中的对象和/或容器上”复选框。

8. 单击“确定”，直到做出更改。

9. 等待 Active Directory 进行复制，或强制进行同步。

尽管客户机将寻找其所处的站点，但它将在域名系统 (DNS) 中的“_ldap._tcp.dc._msdcs.DnsDomainName”中查找 LDAP 服务器。这不是特定于站点的。客户机可能会从一个尚未复制对此旧计算机帐户的删除的远程站点使用 LDAP 服务器（域控制器）。这取决于 Active Directory 站点间复制计划。

从 LDAP 服务器收到的站点信息用于在“_ldap._tcp.ClientSiteName._sites.dc._msdcs.DnsDomainName”中查找特定于站点的 LDAP 服务器。在与本地 LDAP 服务器通信期间，客户机被告知其计算机帐户名称仅存在于第一次使用的域控制器上。为避免潜在的复制冲突问题，客户机将使用其计算机帐户所在的域控制器，而不是创建一个新帐户。不过，用于加入过程的域用户帐户没有足够的权限修改现有的帐户，因此加入过程无法执行。

出现这种情况，原因是因为客户端到DNS服务器端通信出现问题导致的。第一种情况可能是因为，中间的交换机配置关闭了端口的访问，或者是路由表被修改，造成客户端无法访问。第二种情况一般DNS服务器前都会假设一个认证服务器，可能是无法访问证书服务器，或证书不正确导致，建议重新下载安装证书。第三种情况，服务端的IP地址更改，这样的话就不是你一台机子的问题了。所以这种情况不是很大。

---