Dela via

Kända problem: Säkra LDAP-aviseringar i Microsoft Entra Domain Services

  • Artikel

Program och tjänster som använder LDAP (Lightweight Directory Access Protocol) för att kommunicera med Microsoft Entra Domain Services kan konfigureras för att använda säker LDAP-. Ett lämpligt certifikat och nödvändiga nätverksportar måste vara öppna för att säker LDAP ska fungera korrekt.

Den här artikeln hjälper dig att förstå och lösa vanliga aviseringar med säker LDAP-åtkomst i Domain Services.

AADDS101: Säker LDAP-nätverkskonfiguration

Aviseringsmeddelande

Säker LDAP via Internet är aktiverad för den hanterade domänen. Åtkomsten till port 636 är dock inte låst med hjälp av en nätverkssäkerhetsgrupp. Detta kan göra användarkonton på den hanterade domänen tillgängliga för råstyrkeattacker för lösenord.

Upplösning

När du aktiverar säker LDAP rekommenderar vi att du skapar extra regler som begränsar inkommande LDAPS-åtkomst till specifika IP-adresser. Dessa regler skyddar den hanterade domänen från råstyrkeattacker. Utför följande steg för att uppdatera nätverkssäkerhetsgruppen för att begränsa TCP-port 636-åtkomst för säker LDAP:

  1. I Administrationscenter för Microsoft Entrasöker du efter och väljer Nätverkssäkerhetsgrupper.
  2. Välj den nätverkssäkerhetsgrupp som är associerad med din hanterade domän, till exempel AADDS-contoso.com-NSGoch välj sedan inkommande säkerhetsregler
  3. Välj + Lägg till för att skapa en regel för TCP-port 636. Om det behövs väljer du Avancerat i fönstret för att skapa en regel.
  4. För Sourceväljer du IP-adresser i rullgardinsmenyn. Ange de käll-IP-adresser som du vill bevilja åtkomst för säker LDAP-trafik.
  5. Välj vilken som helst som destinationoch ange sedan 636 för målportintervall.
  6. Ange protokoll som TCP och ställ in åtgärd till Tillåt.
  7. Ange prioriteten för regeln och ange sedan ett namn som RestrictLDAPS.
  8. När du är klar väljer du Lägg till för att skapa regeln.

Den hanterade domänens hälsotillstånd uppdateras automatiskt inom två timmar och tar bort aviseringen.

Tips

TCP-port 636 är inte den enda regel som krävs för att Domain Services ska fungera smidigt. För att lära dig mer, se säkerhetsgrupper för Domain Services-nätverk och nödvändiga portar.

AADDS502: Säkert LDAP-certifikat upphör att gälla

Aviseringsmeddelande

Det säkra LDAP-certifikatet för den hanterade domänen upphör att gälla [datum]].

Upplösning

Skapa ett ersättningssäkert LDAP-certifikat genom att följa stegen för att skapa ett certifikat för säker LDAP-. Tillämpa ersättningscertifikatet på Domain Services och distribuera certifikatet till alla klienter som ansluter med säker LDAP.

Nästa steg

Om du fortfarande har problem öppna en Azure-supportbegäran för mer felsökningshjälp.