Поделиться через

Известные проблемы: защита оповещений LDAP в доменных службах Microsoft Entra

  • Статья

Приложения и службы, использующие протокол LDAP для обмена данными с доменными службами Microsoft Entra, можно настроить для использования безопасныхLDAP. Для правильной работы безопасного протокола LDAP необходимо открыть соответствующий сертификат и необходимые сетевые порты.

В этой статье вам помогут разобраться и устранить типичные оповещения, связанные с безопасным доступом по протоколу LDAP в доменных службах.

AADDS101: безопасная конфигурация сети LDAP

Сообщение об оповещении

Безопасный протокол LDAP через Интернет включен для управляемого домена. Однако доступ к порту 636 не заблокирован с помощью группы безопасности сети. Это может подвергать учетные записи пользователей в управляемом домене атакам методом подбора паролей.

Резолюция

При включении безопасного протокола LDAP рекомендуется создать дополнительные правила, ограничивающие доступ к определенным IP-адресам входящего трафика LDAPS. Эти правила защищают управляемый домен от атак методом перебора. Чтобы обновить группу безопасности сети для ограничения доступа TCP-порта 636 для защищенного протокола LDAP, выполните следующие действия.

  1. В центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
  2. Выберите группу безопасности сети, связанную с управляемым доменом, например AADDS-contoso.com-NSG, а затем выберите правила безопасности для входящего трафика
  3. Выберите + Добавить, чтобы создать правило для TCP-порта 636. При необходимости выберите Advanced в окне, чтобы создать правило.
  4. Для Sourceвыберите IP-адреса в раскрывающемся меню. Введите исходные IP-адреса, которым вы хотите предоставить доступ для безопасного обращения LDAP.
  5. Выберите Любой в качестве назначения, а затем введите 636 для диапазонов портов назначения .
  6. Задайте протокол как TCP и действие на Разрешить.
  7. Укажите приоритет правила, а затем введите имя, например RestrictLDAPS.
  8. Когда все готово, выберите Добавить, чтобы создать правило.

Состояние работоспособности управляемого домена автоматически обновляется в течение двух часов и удаляет оповещение.

Совет

TCP-порт 636 не является единственным правилом, необходимым для плавного запуска доменных служб. Дополнительные сведения см. в разделе группы безопасности сети доменных служб и необходимые порты.

AADDS502: срок действия сертификата защищенного LDAP истекает

Сообщение об оповещении

срок действия защищенного сертификата LDAP для управляемого домена истекает в [дата].

Резолюция

Создайте защищенный сертификат LDAP, выполнив действия, чтобы создать сертификат для безопаснойLDAP. Примените сертификат замены к доменным службам и распределите сертификат всем клиентам, которые подключаются с помощью защищенного протокола LDAP.

Дальнейшие действия

Если у вас по-прежнему возникли проблемы, откройте запрос в службу поддержки Azure для получения дополнительной помощи с устранением неполадок.