Partilhar via

Problemas conhecidos: Alertas LDAP seguros nos Serviços de Domínio do Microsoft Entra

  • Artigo

Os aplicações e serviços que usam o protocolo de acesso leve a diretórios (LDAP) para se comunicar com os Serviços de Domínio Microsoft Entra podem ser configurados para usarLDAP seguro. Um certificado apropriado e as portas de rede necessárias devem estar abertos para que o LDAP seguro funcione corretamente.

Este artigo ajuda você a entender e resolver alertas comuns com acesso LDAP seguro nos Serviços de Domínio.

AADDS101: Configuração segura da rede LDAP

Mensagem de alerta

O LDAP seguro pela Internet está ativado para o domínio gerenciado. No entanto, o acesso à porta 636 não é bloqueado usando um grupo de segurança de rede. Isso pode expor as contas de usuário no domínio gerenciado a ataques de força bruta de senha.

Resolução

Quando você habilita o LDAP seguro, é recomendável criar regras extras que restrinjam o acesso LDAPS de entrada a endereços IP específicos. Essas regras protegem o domínio gerenciado contra ataques de força bruta. Para atualizar o grupo de segurança de rede para restringir o acesso à porta TCP 636 para LDAP seguro, conclua as seguintes etapas:

  1. No Centro de Administração Microsoft Entra , procure e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como AADDS-contoso.com-NSGe, em seguida, selecione regras de segurança de entrada
  3. Selecione + Adicionar para criar uma regra para a porta TCP 636. Se necessário, selecione Avançado na janela para criar uma regra.
  4. Para o de origem, escolha Endereços IP no menu suspenso. Insira os endereços IP de origem que você deseja conceder acesso para tráfego LDAP seguro.
  5. Escolha Qualquer como o Destinoe, em seguida, insira 636 para intervalos de portas de destino.
  6. Defina o de Protocolo como TCP e o de Ação como Permitir.
  7. Especifique a prioridade para a regra e insira um nome como RestrictLDAPS.
  8. Quando estiver pronto, selecione Adicionar para criar a regra.

A saúde do domínio gerido é atualizada automaticamente no espaço de duas horas e remove o alerta.

Dica

A porta TCP 636 não é a única regra necessária para que os Serviços de Domínio funcionem sem problemas. Para saber mais, consulte os grupos de segurança de Rede de Serviços de Domínio e as portas necessárias.

AADDS502: Certificado LDAP seguro expirando

Mensagem de alerta

O certificado LDAP seguro para o domínio gerenciado expirará em [data]].

Resolução

Crie um certificado seguro de LDAP de substituição, seguindo os passos para criar um certificado para LDAP seguro. Aplique o certificado de substituição aos Serviços de Domínio e distribua o certificado a todos os clientes que se conectarem usando LDAP seguro.

Próximos passos

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.