Windows Server 2025のActive Directoryドメインサービスで、LDAP署名（暗号化）が既定で要求されるように仕様が変更されています。この仕様変更により、LDAPS（LDAP over SSL/TLS）を使用しないLDAP クライアントからのLDAP接続に問題が生じる可能性があります。

はじまりは2019年8月発行のセキュリティアドバイザリ

　Microsoftは6年前の2019年8月に、Active Directoryドメイン環境内のLDAP通信の安全性を向上させるため、1つのセキュリティアドバイザリを公開しました。

LDAP チャネル バインディングと LDAP 署名を有効にするためのマイクロソフト ガイダンス（ADV190023）｜MSRC（Microsoft）
Windows の 2020 年、2023 年、2024 年の LDAP チャネル バインドと LDAP 署名の要件 (KB4520412)｜サポート（Microsoft）
Windows Server で LDAP 署名を有効にする方法｜Windows Server（Microsoft Learn）

　当初のスケジュールでは2020年3月にLDAP署名とLDAPチャネルバインディングの有効化が行われるはずでしたが、その後、延期されてきました。現在までに、更新プログラムを通じてサポート対象のWindowsに対して、有効化のためのポリシー設定やレジストリ設定、監査イベントが追加されてきましたが、少なくともWindows Server 2022以前については、LDAP署名とLDAPチャネルバインディングの既定での有効化は実施されていませんでした。

　上記のセキュリティアドバイザリ、サポート情報、および公式ドキュメント（の該当ページ）には反映されていませんが、Windows Server 2025ではLDAP署名とLDAPチャネルバインディングが、有効化されています。Windows Server 2025の新機能の紹介ページでは、表現が異なりますが、次のように記述されています。

• Improved security for confidential attributes（機密属性のセキュリティの向上）: DCs and AD LDS instances only allow LDAP to add, search, and modify operations that involve confidential attributes when the connection is encrypted.
• LDAP encryption by default（LDAP暗号化が既定）: All LDAP client communication after a Simple Authentication and Security Layer (SASL) bind uses LDAP sealing by default. To learn more about SASL, see SASL Authentication.

What's new in Windows Server 2025（日本語）｜Windows Server（Microsoft Learn）

　Windows Server 2022以前では、次のポリシー設定またはレジストリ設定により、必要に応じてにLDAP署名とLDAPチャネルバインディングを有効化することができました。次のポリシー設定は「Default Domain Controllers Policy」グループポリシーオブジェクト（GPO）の「Windowsの設定￥セキュリティの設定￥ローカル ポリシー￥セキュリティ オプション」で、レジストリ設定はドメインコントローラーの「HKEY_LOCAL_MACHINE￥SYSTEM￥CurrentControlSet￥Services￥NTDS￥Parameters」キーに設定します。

Windows Server 2025のドメインコントローラーの既定はどうなった？

　Windows Server 2025のドメインコントローラーの既定の設定を確認する限り、これらの設定により有効化が行われてはいません（画面1）。

画面1　Windows Server 2025のドメインコントローラーでは、Windows Server 2022以前で利用可能なLDAP関連のポリシー設定/レジストリ設定では有効化されていない

　しかし、Windows Server 2025では、新たに次のポリシー設定およびレジストリ設定が追加されており、既定でLDAP署名が適用されるように変更されています。新しいポリシー設定が未定義およびレジストリ値のない既定の状態は「ldapserverenforceintegrity＝1」と同等であり、従来のLDAP署名ポリシー設定（LDAPServerIntegrityとLdapEnfoceChannelBinding）に関係なく、既定でLDAP署名が適用されるようになっています。

　言い換えれば、新たなポリシーが有効（値なしを含む）の場合、従来のLDAP署名ポリシー設定は無視され、新たなポリシーが明示的に無効にされた場合、従来のLDAP署名ポリシー設定が使用されるということです。この新たに追加されたポリシーは、Windows Server 2022以前のドメインコントローラーをWindows Server 2025にインプレースアップグレードした場合でも値なし（有効）であるため、従来のLDAP署名ポリシー設定で無効にしていたとしても、既定でLDAP署名が有効になります。

Windows Server 2022以前の既定と同等に戻すには

　Windows Server 2025のLDAPのセキュリティ設定を、Windows Server 2022以前の既定（従来のLDAP署名ポリシーの設定状態）と同等に戻すには、ドメインコントローラー（Default Domain Controllers Policyまたはレジストリ）で「ドメイン コントローラー: LDAP サーバの署名要件の適用」ポリシーを無効にします（画面2）。なお、「ドメイン コントローラー: LDAP サーバの署名要件の適用」ポリシーを有効または無効に設定後、再び未定義にした場合、既定値（ldapserverenforceintegrity値なし=有効）に戻るのではなく、ポリシー無効（ldapserverenforceintegrity=0）に戻るようなので注意してください。

　また、クライアント（Default Domain Policyやその他のGPOなど）で「ネットワーク セキュリティ: LDAP クライアント暗号化の要件」を「なし」に設定します（画面3）。「ネットワーク セキュリティ: LDAP クライアント暗号化の要件」は既定は未定義ですが、その場合、既定値「封印（暗号化）のネゴシエーション」と同等であり、その場合、サーバー側で暗号化を要求しない場合、接続は失敗します。

画面2　Windows Server 2025からの新しいポリシー設定「ドメイン コントローラー: LDAP サーバの署名要件の適用」を無効にする

画面3　LDAPクライアント側では「ネットワーク セキュリティ: LDAP クライアント暗号化の要件」を「なし」に設定する

できるならLDAPSを使用可能にする（推奨）

　暗号化されていないLDAP（389/TCP）への接続は、セキュリティ上望ましくありません。より適切な対応は、LDAPS（LDAP over SSL/TLS、636/TCP）へのSSL/TLS接続を可能にすることです。LDAPSで安全に接続できる状態であれば、LDAP署名に関する既定のセキュリティ強化の影響は受けません。

　Windows Serverのドメインコントローラーは、既定でLDAPSが使用するポート636/TCPをリッスンしていますが、既定ではSSL/TLS証明書が設定されていないため、暗号化接続は受け付けません。その状態では、サーバーでLDAP署名が必須でない場合（Windows Server 2022の既定）、通常のLDAP接続（非暗号化接続）は可能ですが、LDAPS接続（暗号化接続）するためにはこのポートに有効なSSL/TLS証明書をバインドする必要があります。

　Active Directoryドメインに「Active Directory証明書サービス」をインストールして「エンタープライズ（CA）」としてセットアップすることで、ポート636/TCPにSSL/TLS証明書が自動設定され、CA証明書が自動配布されるドメインメンバーからの接続が可能になります（画面4）。サードパーティのSSL/TLS証明書を利用する場合は、以下のドキュメントを参考にしてください。

サード パーティ証明機関を使用して SSL 経由で LDAP を有効にする｜Windows Server（Microsoft Learn）

画面4　Active Directoryドメインにエンタープライズ（CA）を導入すると、LDAPSが利用可能になる。LDAP/LDAPSへの接続の確認には、Active Directoryドメインサービスとともにインストールされる「Ldp.exe」を使用できる

Windows Server 2025大特集（1）｜...｜メモ