Bekende problemen: Secure LDAP-waarschuwingen in Microsoft Entra Domain Services
Toepassingen en services die gebruikmaken van ldap (Lightweight Directory Access Protocol) om te communiceren met Microsoft Entra Domain Services kunnen worden geconfigureerd voor het gebruik van secure LDAP-. Een geschikt certificaat en vereiste netwerkpoorten moeten zijn geopend om Secure LDAP correct te laten werken.
Dit artikel helpt u algemene waarschuwingen te begrijpen en op te lossen met secure LDAP-toegang in Domain Services.
AADDS101: Secure LDAP-netwerkconfiguratie
Waarschuwingsbericht
Secure LDAP via internet is ingeschakeld voor het beheerde domein. Toegang tot poort 636 is echter niet vergrendeld met behulp van een netwerkbeveiligingsgroep. Hierdoor kunnen gebruikersaccounts in het beheerde domein worden blootgesteld aan beveiligingsaanvallen op wachtwoorden.
Resolutie
Wanneer u Secure LDAP inschakelt, is het raadzaam extra regels te maken die de toegang tot binnenkomende LDAPS-toegang tot specifieke IP-adressen beperken. Deze regels beschermen het beheerde domein tegen beveiligingsaanvallen. Voer de volgende stappen uit om de netwerkbeveiligingsgroep bij te werken om TCP-poort 636-toegang voor Secure LDAP te beperken:
- Zoek en selecteer in het Microsoft Entra-beheerderscentrumNetwerkbeveiligingsgroepen.
- Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG-en selecteer vervolgens inkomende beveiligingsregels
- Selecteer + toevoegen om een regel te maken voor TCP-poort 636. Selecteer indien nodig Geavanceerde in het venster om een regel te maken.
- Kies IP-adressen in de vervolgkeuzelijst voor de bron. Voer de bron-IP-adressen in die u toegang wilt verlenen voor secure LDAP-verkeer.
- Kies Een als Doelen voer 636 in voor Doelpoortbereiken.
- Stel het Protocol in als TCP en de Actie in op Toestaan.
- Geef de prioriteit voor de regel op en voer een naam in, zoals RestrictLDAPS-.
- Wanneer u klaar bent, selecteert u , voeg toe om de regel te maken.
De status van het beheerde domein wordt automatisch binnen twee uur bijgewerkt en de waarschuwing wordt verwijderd.
Fooi
TCP-poort 636 is niet de enige regel die nodig is om Domain Services soepel te laten werken. Zie de Domain Services-netwerkbeveiligingsgroepen en vereiste poortenvoor meer informatie.
AADDS502: Secure LDAP-certificaat verloopt
Waarschuwingsbericht
Het Secure LDAP-certificaat voor het beheerde domein verloopt op [datum]].
Resolutie
Maak een vervangend Secure LDAP-certificaat door de stappen te volgen om een certificaat te maken voor secure LDAP-. Pas het vervangende certificaat toe op Domain Services en distribueer het certificaat naar clients die verbinding maken met secure LDAP.
Volgende stappen
Als u nog steeds problemen ondervindt, kunt u een Azure-ondersteuningsaanvraag openen voor meer hulp bij het oplossen van problemen.