Известные проблемы: защита оповещений LDAP в доменных службах Microsoft Entra
Приложения и службы, использующие протокол LDAP для обмена данными с доменными службами Microsoft Entra, можно настроить для использования безопасныхLDAP. Для правильной работы безопасного протокола LDAP необходимо открыть соответствующий сертификат и необходимые сетевые порты.
В этой статье вам помогут разобраться и устранить типичные оповещения, связанные с безопасным доступом по протоколу LDAP в доменных службах.
AADDS101: безопасная конфигурация сети LDAP
Сообщение об оповещении
Безопасный протокол LDAP через Интернет включен для управляемого домена. Однако доступ к порту 636 не заблокирован с помощью группы безопасности сети. Это может подвергать учетные записи пользователей в управляемом домене атакам методом подбора паролей.
Резолюция
При включении безопасного протокола LDAP рекомендуется создать дополнительные правила, ограничивающие доступ к определенным IP-адресам входящего трафика LDAPS. Эти правила защищают управляемый домен от атак методом перебора. Чтобы обновить группу безопасности сети для ограничения доступа TCP-порта 636 для защищенного протокола LDAP, выполните следующие действия.
- В центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
- Выберите группу безопасности сети, связанную с управляемым доменом, например AADDS-contoso.com-NSG, а затем выберите правила безопасности для входящего трафика
- Выберите + Добавить, чтобы создать правило для TCP-порта 636. При необходимости выберите Advanced в окне, чтобы создать правило.
- Для Sourceвыберите IP-адреса в раскрывающемся меню. Введите исходные IP-адреса, которым вы хотите предоставить доступ для безопасного обращения LDAP.
- Выберите Любой в качестве назначения, а затем введите 636 для диапазонов портов назначения .
- Задайте протокол как TCP и действие на Разрешить.
- Укажите приоритет правила, а затем введите имя, например RestrictLDAPS.
- Когда все готово, выберите Добавить, чтобы создать правило.
Состояние работоспособности управляемого домена автоматически обновляется в течение двух часов и удаляет оповещение.
Совет
TCP-порт 636 не является единственным правилом, необходимым для плавного запуска доменных служб. Дополнительные сведения см. в разделе группы безопасности сети доменных служб и необходимые порты.
AADDS502: срок действия сертификата защищенного LDAP истекает
Сообщение об оповещении
срок действия защищенного сертификата LDAP для управляемого домена истекает в [дата].
Резолюция
Создайте защищенный сертификат LDAP, выполнив действия, чтобы создать сертификат для безопаснойLDAP. Примените сертификат замены к доменным службам и распределите сертификат всем клиентам, которые подключаются с помощью защищенного протокола LDAP.
Дальнейшие действия
Если у вас по-прежнему возникли проблемы, откройте запрос в службу поддержки Azure для получения дополнительной помощи с устранением неполадок.