2020年3月のWindows UpdateによるAD LDAP署名・チャネルバインディング有効化の影響について

2020年2月7日追記：
Microsoft社より「LDAP署名」と「LDAPチャンネルバインディング」を既定で有効化する更新プログラムのリリースは、2020年後半の予定に変更されました。詳細は以下を参照ください。

• [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を！

対象

以下の要件を満たす環境が対象になります。

• コラボフローパッケージ版で「Active Directory認証」を利用している

影響

Microsoft社より2020年3月に提供予定のセキュリティ更新プログラムを適用すると以下のような状態になると予想されます。

• ログインに失敗します。

  • ログイン画面に「認証エラーが発生しました。（ユーザー名）のAD認証中にエラーが発生しました。」と表示されます。

• 監査ログの補足に以下のメッセージが記録されます。

  • AD認証：（ユーザーID）の認証中にADとの通信に問題が発生「query :（ADサーバー） を実行中にエラーが発生しました。」
  • AD認証：（ユーザーID）の認証中にADとの通信に問題が発生「An error has occurred while trying to execute query :（ADサーバー）; socket closed.」

• ColdFusionの動作ログに以下のメッセージが記録されます。

  • LDAP: error code 8 - 00002028: LdapErr: DSID-xxxxxxxx
  • LDAP: error code 49 - 80090308: LdapErr: DSID-xxxxxxxx

回避策

回避策1

2020年3月更新予定とされているWindows Updateに含まれるセキュリティ更新プログラムの適用を見送ってください。

回避策2

セキュリティ更新プログラムを適用する場合は以下の手順でドメインまたはドメインコントローラーのグループポリシーを明示的に設定し、LDAP署名を無効化します。

※この設定はドメインコントローラーの設定であり、コラボフロー以外にも適用されます。
※この手順は現時点で予測される方法であり、セキュリティ更新プログラム適用後に変わる可能性があります。

1. グループポリシー管理コンソールを起動し、ポリシー編集を開始します。

2. 「コンピューターの構成＞ポリシー＞Windowsの設定＞セキュリティの設定＞ローカルポリシー＞セキュリティオプション」を開きます。

3. 項目「ドメインコントローラー：LDAPサーバー署名必須」を”なし”に変更します。

参考

• [AD管理者向け] 2020 年 LDAP 署名と LDAP チャネルバインディングが有効化。確認を！

• Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件

• ADV190023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing

※Windows UpdateやActive Directoryに関するお問い合わせは、恐れ入りますが弊社ではお答えすることができません。Microsoft社までお問い合わせくださいますよう、お願い申し上げます。