i-FILTER@Cloud
m-FILTER@Cloud
Deskシリーズ
i-FILTER Ver.9/Ver.10/Reporter
i-FILTER ブラウザー&クラウド
m-FILTER Ver.4/Ver.5
m-FILTER MailAdviser
FinalCode
D-SPA
StartIn
f-FILTER
お知らせ
トラブルシューティングガイド


URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4425
  FAQ_ID:4425
Business > m-FILTER MailAdviser > m-FILTER MailAdviser (メーラー版) > ポップアップ
 
「m-FILTER MailAdviser」Windowsにおける『LDAPチャネルバインディング』『LDAP署名』有効化による影響はありますか
対応バージョン: m-FILTER MailAdviser Ver.2.60R01~
対応OS: すべてのOS


【概要】
2020年後半にマイクロソフト社が公開予定のWindowsセキュリティ更新プログラムにて、
LDAPサーバー機能において「LDAPチャネルバインディング」「LDAP署名」の両機能を
有効にするという方針が示されていました。
しかしながら、その後マイクロソフト社の方針が以下のように変わりました。

■ADV190023 | LDAPチャネルバインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス
(外部サイトに遷移します)
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/adv190023
 
重要: 2020年3月11日と近い将来の更新プログラムを適用しても、新規または既存のドメインコントローラー上の
LDAP署名またはLDAPチャネルバインディングのポリシー、またはそれらに相当するレジストリは変更されません。

 

そのため、「m-FILTER MailAdviser」への影響はありません。
 
なお、「m-FILTER MailAdviser」は上記のうち「LDAP署名」に対応していないため、
もしお客様自身で機能を有効化される場合や、
今後マイクロソフト社の方針が再度変更されて機能が有効化された場合は
下記【具体的な事象】に記載した問題が発生します。


【影響を受ける環境】
 「LDAP連携機能」を有効にし、LDAPサーバーのホストとして下記のいずれかの
  バージョンのActive Directoryサーバーを指定している場合、影響を受けます。
  Windows Server 2008 SP2
  Windows Server 2008 R2 SP1
  Windows Server 2012
  Windows Server 2012 R2
  Windows Server 2016
  Windows Server 2019


【具体的な事象】
 ■共通
  ポップアップ画面のニックネームがLDAPサーバーから取得できなくなります。

 ■「上長アドレスチェック」機能で「上長アドレス情報をLDAPサーバーから取得する」が
  有効な場合
  上長アドレスを確認できなくなり、上長アドレスをTo,Cc,Bccに入れていたとしても
  「警告表示」「送信禁止」のいずれかが適用されます。
  ※キャッシュがある場合はキャッシュに沿って動作しますが、 LDAPサーバー側で
   設定変更しても反映されません。

 ※「MailAdviser」がインストールされているWindowsマシンをWindows Updateする
  だけであれば、上記事象は発生しません。


【対処方法】
 「LDAPSを利用する」を有効にすることで、対処することが可能です。

 ※設定変更には管理者ツールの利用が必要です。
 ※PCがActive Directoryに参加しており、名前解決できることが前提です。

 1. 管理者ツールを開き、「宛先設定 > LDAP連携機能」から登録した
  LDAPサーバーの編集画面を開きます。
 2. 「LDAPSを利用する」にチェックを入れます。
 3. 「ポート番号(デフォルト:389)」をLDAPSサーバー側でサービスしている
  ポート(デフォルト:636)に変更して「OK」をクリックします。
 4. 「サーバーホスト」が「IPアドレス」になっている場合、「Active Directory証明書サービス」
  が動作しているサーバーの「ホスト名」に変更します。
 5. 管理者ツールの保存ボタンをクリックし、「インストール用」
  「設定ファイル自動更新用」「管理用」にそれぞれ保存します。
 6. 設定ファイル自動更新機能か、もしくはインストール用ファイルで再インストール
  することにより設定を配布します。

 ※設定配布方法についてはm-FILTER MailAdviser管理者マニュアル
  「2-5-2 設定ファイルの使用方法」を、設定画面のイメージは
  「2-3-3 LDAP連携機能」を参照してください。


【その他の対処方法】
 「LDAPSを利用する」の有効化が難しい場合、認証サーバー側で
 「LDAP署名」を無効化して対応してください。
  ※「LDAP署名」の無効化方法についてはOS側設定となるため弊社ではご案内しておりません。
   以下のMicrosoft社ページを参照するか、OSベンダー様に相談してください。
   ◆WINDOWS Server 2008 で LDAP 署名を有効にする方法
   https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server-2008
   ◆LdapEnforceChannelBinding レジストリ エントリの設定による SSL/TLS 接続の LDAP 認証の安全性の向上
   https://support.microsoft.com/ja-jp/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry


【参考情報】
 Windows側でLDAPSを受け付けられるようにするための設定については、
 下記FAQを参考にしてください。

 ※「m-FILTER」用のFAQですが、手順は同様です。
  (1)~(4)まで実行する必要があります。
  「MailAdviser」の場合、(4)はサーバーではなく各クライアントが
  対象となります。

 ▼参考FAQ
 「m-FILTER」Active Directoryで「LDAPS」を利用する場合の
 認証サーバー側設定を教えてください
 https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4423


 

 
「m-FILTER」Windowsにおける『LDAPチャネルバインディング』『L...
「i-FILTER」Windowsにおける『LDAPチャネルバインディング』『L...
「FinalCode」Windowsにおける『LDAPチャネルバインディング』『...
「m-FILTER MailAdviser」設定ファイル自動更新機能で上長アドレ...
「m-FILTER MailAdviser」アンインストール防止パスワードを忘れ...
 

役に立った
役に立たなかった