Anfang Februar wurden eine Sicherheitslücke in Microsoft Exchange publiziert und AD-Hoc Maßnahmen veröffentlicht. Unter anderem empfahl Microsoft den Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
auf allen Domain Controllern zu löschen. Die Lücke ist mittlerweile geschlossen.
Das Löschen des angegebenen Schlüssels hat – falls der Wert des Eintrags auf 1 stand – einen Seiteneffekt: LDAP(s) Abfragen gegen Domain Controller mit abweichenden FQDNs in den Abfragen, werden von Domain Controllern nicht mehr beantwortet.
Ein Device – z.B. eine Firewall – benötigt eine LDAP(s)-Verbindung, um z.B. Active Directory Benutzerkonten durch eine LDAP(s)Abfrage zu ermitteln.
Nehmen wir an, es stehen zwei Domain Controller für die Active Directory Domain myDom.local zur Verfügung. DC01.mydom.local hat die IP-Adresse 10.0.5.11 und DC02-myDom.local hat die IP-Adresse 10.0.5.12. Die Konfigurationsschnittstelle des Device lässt aber nicht zu, zwei DCs einzutragen. Somit würde bei Ausfall des eingetragen Domain Controllers, das AD nicht mehr abgefragt werden können.
Man hilft sich dann so, um Ausfallsicherheit zu gewährleisten:
Es werden zwei DNS Hosteinträge erstellt:
- DC.myDom.local -> 10.0.5.11
- DC.myDom.local -> 10.0.5.12
Die LDAP-Abfrage wird dann entsprechend mit :
- LDAP://dc.mydom.local/…
oder
- LDAPS://dc.mydom.local:636/…
konfiguriert.
Damit die Domain Controller Verbindungen über diesen FQDN akzeptieren, muss der Eintrag
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck
in Registry der Domain Controller mit dem Wert „1“ gesetzt sein.
Sollte der genannte Schlüssel im Rahmen der AD-Hoc Maßnahmen gelöscht worden sein, muss er wieder erstellt werden, damit die Domain Controller bei LDAP(s)-Abfragen mit abweichenden FQDNs antworten.