Bagikan melalui


Masalah yang diketahui: Mengamankan pemberitahuan LDAP di Microsoft Entra Domain Services

Aplikasi dan layanan yang menggunakan protokol akses direktori ringan (LDAP) untuk berkomunikasi dengan Microsoft Entra Domain Services dapat dikonfigurasi untuk menggunakan LDAP aman. Sertifikat yang sesuai dan port jaringan yang diperlukan harus terbuka agar LDAP aman berfungsi dengan benar.

Artikel ini membantu Anda memahami dan menyelesaikan pemberitahuan umum dengan akses LDAP yang aman di Layanan Domain.

AADDS101: Konfigurasi jaringan LDAP aman

Pesan pemberitahuan

LDAP aman melalui internet diaktifkan untuk domain terkelola. Namun, akses ke port 636 tidak dikunci menggunakan kelompok keamanan jaringan. Ini dapat mengekspos akun pengguna pada domain yang dikelola ke serangan brute-force terhadap kata sandi.

Resolusi

Saat Anda mengaktifkan LDAP aman, disarankan untuk membuat aturan tambahan yang membatasi akses LDAPS masuk ke alamat IP tertentu. Aturan ini melindungi domain terkelola dari serangan brute force. Untuk memperbarui grup keamanan jaringan guna membatasi akses port TCP 636 untuk LDAP aman, selesaikan langkah-langkah berikut:

  1. Di pusat admin Microsoft Entra, cari dan pilih grup keamanan jaringan .
  2. Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG , lalu pilih aturan keamanan masuk
  3. Pilih + Tambahkan untuk membuat aturan untuk port TCP 636. Jika diperlukan, pilih Tingkat Lanjut di jendela untuk membuat aturan.
  4. Untuk Sumber, pilih Alamat IP dari menu drop-down. Masukkan alamat IP sumber yang ingin Anda berikan akses untuk lalu lintas LDAP yang aman.
  5. Pilih apa pun sebagai Tujuan, lalu masukkan 636 untuk rentang port Tujuan .
  6. Setel Protokol sebagai TCP dan Tindakan sebagai Izinkan.
  7. Tentukan prioritas untuk aturan, lalu masukkan nama seperti RestrictLDAPS.
  8. Setelah siap, pilih Tambahkan untuk membuat aturan.

Kesehatan domain terkelola diperbarui secara otomatis dalam waktu dua jam dan menghilangkan peringatan.

Saran

Port TCP 636 bukan satu-satunya aturan yang diperlukan agar Layanan Domain berjalan dengan lancar. Untuk mempelajari lebih lanjut, lihat grup keamanan Jaringan Domain Services dan port yang diperlukan.

AADDS502: Sertifikat LDAP aman kedaluwarsa

Pesan pemberitahuan

Sertifikat LDAP aman untuk domain terkelola akan kedaluwarsa pada [tanggal]].

Resolusi

Buat sertifikat LDAP aman pengganti dengan mengikuti langkah-langkah untuk membuat sertifikat untuk LDAP aman. Terapkan sertifikat pengganti ke Layanan Domain, dan distribusikan sertifikat ke klien apa pun yang terhubung menggunakan LDAP aman.

Langkah berikutnya

Jika Anda masih mengalami masalah, membuka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.