Udostępnij za pośrednictwem


Znane problemy: Alerty protokołu Secure LDAP w usługach Microsoft Entra Domain Services

Aplikacje i usługi korzystające z protokołu LDAP (Lightweight Directory Access Protocol) do komunikowania się z usługami Microsoft Entra Domain Services można skonfigurować do używania bezpiecznego protokołu LDAP. Odpowiedni certyfikat i wymagane porty sieciowe muszą być otwarte, aby bezpieczny protokół LDAP działał poprawnie.

Ten artykuł pomaga zrozumieć i rozwiązać typowe alerty związane z bezpiecznym dostępem LDAP w usługach domenowych.

AADDS101: Konfiguracja sieci protokołu Secure LDAP

Komunikat alertu

Protokół Secure LDAP przez Internet jest włączony dla domeny zarządzanej. Jednak dostęp do portu 636 nie jest zablokowany przy użyciu sieciowej grupy zabezpieczeń. Może to narazić konta użytkowników w zarządzanej domenie na ataki brute-force haseł.

Rezolucja

Po włączeniu protokołu Secure LDAP zaleca się utworzenie dodatkowych reguł, które ograniczają dostęp przychodzący LDAPS do określonych adresów IP. Te reguły chronią domenę zarządzaną przed atakami siłowymi. Aby zaktualizować grupę zabezpieczeń sieciowych w celu ograniczenia dostępu do portu TCP 636 dla bezpiecznego LDAP, wykonaj następujące kroki:

  1. W centrum administracyjnym Microsoft Entrawyszukaj i wybierz Sieciowe grupy zabezpieczeń.
  2. Wybierz grupę zabezpieczeń sieci skojarzoną z domeną zarządzaną, taką jak AADDS-contoso.com-NSG, a następnie wybierz reguły ruchu przychodzącego.
  3. Wybierz pozycję + Dodaj, aby utworzyć regułę dla portu TCP 636. W razie potrzeby wybierz pozycję Zaawansowane w oknie, aby utworzyć regułę.
  4. W przypadku źródłowejwybierz pozycję adresy IP z menu rozwijanego. Wprowadź źródłowe adresy IP, dla których chcesz udzielić dostępu do bezpiecznego ruchu LDAP.
  5. Wybierz Dowolna jako docelowy, a następnie wprowadź 636 dla zakresów portów docelowych .
  6. Ustaw protokołu jako tcp i akcję Zezwalaj.
  7. Określ priorytet reguły, a następnie wprowadź nazwę, taką jak RestrictLDAPS.
  8. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj, aby utworzyć regułę.

Kondycja domeny zarządzanej automatycznie aktualizuje się w ciągu dwóch godzin i usuwa alert.

Wskazówka

Port TCP 636 nie jest jedyną regułą wymaganą do bezproblemowego działania usług domenowych. Aby dowiedzieć się więcej, zobacz grupy zabezpieczeń sieciowych i wymagane porty dla usług domenowych .

AADDS502: Wygasanie certyfikatu secure LDAP

Komunikat alertu

Certyfikat secure LDAP dla domeny zarządzanej wygaśnie [date]].

Rezolucja

Utwórz zastępczy certyfikat secure LDAP, wykonując kroki, aby utworzyć certyfikat dla protokołu secure LDAP. Zastosuj certyfikat zastępczy do usług Domain Services i rozprosz certyfikat do wszystkich klientów łączących się przy użyciu protokołu Secure LDAP.

Następne kroki

Jeśli nadal masz problemy, otwórz zlecenie wsparcia technicznego w Azure, aby uzyskać pomoc w rozwiązywaniu problemów.