Problemas conhecidos: Alertas LDAP seguros nos Serviços de Domínio do Microsoft Entra
Os aplicações e serviços que usam o protocolo de acesso leve a diretórios (LDAP) para se comunicar com os Serviços de Domínio Microsoft Entra podem ser configurados para usarLDAP seguro. Um certificado apropriado e as portas de rede necessárias devem estar abertos para que o LDAP seguro funcione corretamente.
Este artigo ajuda você a entender e resolver alertas comuns com acesso LDAP seguro nos Serviços de Domínio.
AADDS101: Configuração segura da rede LDAP
Mensagem de alerta
O LDAP seguro pela Internet está ativado para o domínio gerenciado. No entanto, o acesso à porta 636 não é bloqueado usando um grupo de segurança de rede. Isso pode expor as contas de usuário no domínio gerenciado a ataques de força bruta de senha.
Resolução
Quando você habilita o LDAP seguro, é recomendável criar regras extras que restrinjam o acesso LDAPS de entrada a endereços IP específicos. Essas regras protegem o domínio gerenciado contra ataques de força bruta. Para atualizar o grupo de segurança de rede para restringir o acesso à porta TCP 636 para LDAP seguro, conclua as seguintes etapas:
- No Centro de Administração Microsoft Entra , procure e selecione Grupos de segurança de rede.
- Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como AADDS-contoso.com-NSGe, em seguida, selecione regras de segurança de entrada
- Selecione + Adicionar para criar uma regra para a porta TCP 636. Se necessário, selecione Avançado na janela para criar uma regra.
- Para o de origem, escolha Endereços IP no menu suspenso. Insira os endereços IP de origem que você deseja conceder acesso para tráfego LDAP seguro.
- Escolha Qualquer como o Destinoe, em seguida, insira 636 para intervalos de portas de destino.
- Defina o de Protocolo como TCP e o de Ação como Permitir.
- Especifique a prioridade para a regra e insira um nome como RestrictLDAPS.
- Quando estiver pronto, selecione Adicionar para criar a regra.
A saúde do domínio gerido é atualizada automaticamente no espaço de duas horas e remove o alerta.
Dica
A porta TCP 636 não é a única regra necessária para que os Serviços de Domínio funcionem sem problemas. Para saber mais, consulte os grupos de segurança de Rede de Serviços de Domínio e as portas necessárias.
AADDS502: Certificado LDAP seguro expirando
Mensagem de alerta
O certificado LDAP seguro para o domínio gerenciado expirará em [data]].
Resolução
Crie um certificado seguro de LDAP de substituição, seguindo os passos para criar um certificado para LDAP seguro. Aplique o certificado de substituição aos Serviços de Domínio e distribua o certificado a todos os clientes que se conectarem usando LDAP seguro.
Próximos passos
Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.