알려진 문제: Microsoft Entra Domain Services에서 보안 LDAP 경고
LDAP(경량 디렉터리 액세스 프로토콜)를 사용하여 Microsoft Entra Domain Services와 통신하는 애플리케이션 및 서비스는 보안 LDAP 사용하도록구성할 수 있습니다. 보안 LDAP가 제대로 작동하려면 적절한 인증서와 필요한 네트워크 포트를 열어야 합니다.
이 문서는 Domain Services에서 보안 LDAP 액세스를 사용하여 일반적인 경고를 이해하고 해결하는 데 도움이 됩니다.
AADDS101: 보안 LDAP 네트워크 구성
경고 메시지
인터넷을 통해 보안 LDAP는 관리되는 도메인에 대해 사용하도록 설정됩니다. 그러나 네트워크 보안 그룹을 사용하여 포트 636에 대한 액세스가 잠기지 않습니다. 이렇게 하면 관리되는 도메인의 사용자 계정을 암호 무차별 대입 공격에 노출할 수 있습니다.
해상도
보안 LDAP를 사용하도록 설정하는 경우 인바운드 LDAPS 액세스를 특정 IP 주소로 제한하는 추가 규칙을 만드는 것이 좋습니다. 이러한 규칙은 무차별 암호 대입 공격으로부터 관리되는 도메인을 보호합니다. 보안 LDAP에 대한 TCP 포트 636 액세스를 제한하도록 네트워크 보안 그룹을 업데이트하려면 다음 단계를 완료합니다.
- microsoft Entra 관리 센터 네트워크 보안 그룹을 검색하여 선택합니다.
- AADDS-contoso.com-NSG같은 관리되는 도메인과 연결된 네트워크 보안 그룹을 선택한 다음 인바운드 보안 규칙
- + 추가하여 TCP 포트 636에 대한 규칙을 만듭니다. 필요한 경우 창에서 고급 선택하여 규칙을 만듭니다.
- 소스에 대해 드롭다운 메뉴에서 IP 주소를 선택합니다. 보안 LDAP 트래픽에 대한 액세스 권한을 부여하려는 원본 IP 주소를 입력합니다.
- 를 대상으로 선택한 다음 대상 포트 범위에 636 를 입력합니다.
- 프로토콜 을 TCP 으로 설정하고, 작업 을 허용으로 설정합니다.
- 규칙의 우선 순위를 지정한 다음 RestrictLDAPS같은 이름을 입력합니다.
- 준비가 되면 추가를 선택하여 규칙을 만듭니다.
관리되는 도메인의 상태는 2시간 이내에 자동으로 업데이트되고 경고를 제거합니다.
팁
도메인 서비스가 원활하게 실행되는 데 필요한 유일한 규칙은 TCP 포트 636이 아닙니다. 자세한 내용은 Domain Services 네트워크 보안 그룹 및 필요한 포트참조하세요.
AADDS502: 보안 LDAP 인증서 만료
경고 메시지
관리되는 도메인에 대한 보안 LDAP 인증서는 [날짜]에 만료됩니다.
해상도
보안 LDAP 인증서를 만들기 위한 단계를 따라서대한 대체 보안 LDAP 인증서를 만듭니다. 도메인 서비스에 대체 인증서를 적용하고 보안 LDAP를 사용하여 연결하는 모든 클라이언트에 인증서를 배포합니다.
다음 단계
문제가 여전히 있는 경우, 문제 해결에 대한 추가 지원을 받으려면 Azure 지원 요청을 여세요.