Um domínio autônomo precisa executar a perseguição de referências LDAP?

Navegue suas respostas
1

Estou tentando verificar se o domínio de um cliente é afetado por um problema na atualização somente do August Security para o Windows 7 ( KB4034679 ).

O problema é descrito pela Microsoft como:

“Due to a defect in WLDAP32.DLL, applications that perform LDAP referral chasing can consume excessive or all of the available TCP dynamic ports after installing KB 4025337 and KB4025341. Applications and roles known to make these referrals may include Outlook.exe, DFSR, and others.”

Sei que alguns dos aplicativos afetados estão presentes, mas não tenho certeza se o domínio realizará a perseguição de referências LDAP.

  • O domínio não faz parte de uma floresta e é um domínio autônomo.
  • O Active Directory é configurado com replicação multimestre.

É meu entendimento de que, sob essas condições, a perseguição de referências LDAP não será necessária no domínio.

Não tenho certeza se a perseguição por referências LDAP pode ter sido iniciada pelos aplicativos clientes (por exemplo, outlook.exe), independentemente da configuração do domínio.

Este domínio será afetado pelo problema descrito pela Microsoft?

    
por TheJulyPlot 14.08.2017 / 16:13

1 resposta

2

Uma perseguição de referência é iniciada pelo cliente quando um controlador de domínio retorna uma referência de uma consulta. Uma referência é retornada se uma consulta não estiver dentro do namespace de domínio / floresta ou para detalhes de um resultado de consulta que pode estar fora do namespace (como membros do grupo em outro domínio / floresta).

Para consultas de partições locais (LDAP), é necessária uma referência para qualquer espaço de nomes fora do espaço de nomes do domínio local. Para consultas do catálogo global (GC), uma referência é necessária se o espaço para nome estiver fora da floresta. Uma consulta de GC também exigiria uma referência se a consulta atingisse um controlador de domínio que não é um catálogo global (o que não deve ser o caso - todos os controladores de domínio devem ser um catálogo global).

Se o seu domínio é DC = contoso, DC = com, uma referência seria necessária para consultas de partições locais se o espaço de nomes fosse:

DC = filho, DC = contoso, DC = com
DC = fabrikam.com (domínio raiz da árvore na floresta contoso)
DC = litware, DC = com (floresta separada)

Mas se for uma consulta de Catálogo Global, uma referência só será necessária se o espaço de nomes da consulta for DC = litware, DC = com.

    
por 14.08.2017 / 17:34

Tags

Como encaminhar o endereço IP do cliente para o Nginx do Haproxy no modo tcp O que exatamente as entradas de “Kernel Audit” no relatório Logwatch significam?