Aracılığıyla paylaş


Bilinen sorunlar: Microsoft Entra Domain Services'da güvenli LDAP uyarıları

Microsoft Entra Domain Services ile iletişim kurmak için basit dizin erişim protokolü (LDAP) kullanan uygulamalar ve hizmetler güvenli LDAPkullanacak şekilde yapılandırılabilir. Güvenli LDAP'nin düzgün çalışması için uygun bir sertifikanın ve gerekli ağ bağlantı noktalarının açık olması gerekir.

Bu makale, Etki Alanı Hizmetleri'nde güvenli LDAP erişimi olan yaygın uyarıları anlamanıza ve çözmenize yardımcı olur.

AADDS101: Güvenli LDAP ağ yapılandırması

Uyarı iletisi

Yönetilen etki alanı için İnternet üzerinden güvenli LDAP etkinleştirilir. Ancak, 636 numaralı bağlantı noktasına erişim bir ağ güvenlik grubu kullanılarak kilitlenmez. Bu, yönetilen etki alanındaki kullanıcı hesaplarını parola deneme yanılma saldırılarına maruz bırakabilir.

Çözünürlük

Güvenli LDAP'yi etkinleştirdiğinizde, gelen LDAPS erişimini belirli IP adresleriyle kısıtlayan ek kurallar oluşturmanız önerilir. Bu kurallar yönetilen etki alanını kaba kuvvet saldırılarına karşı korur. Ağ güvenlik grubunu güvenli LDAP için TCP bağlantı noktası 636 erişimini kısıtlayacak şekilde güncelleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezindeağ güvenlik grupları arayın ve seçin.
  2. yönetilen etki alanınızla ilişkilendirilmiş AADDS-contoso.com-NSGgibi ağ güvenlik grubunu seçin ve ardından Gelen güvenlik kuralları seçin
  3. tcp bağlantı noktası 636 için bir kural oluşturmak için + ekle'yi seçin. Gerekirse, pencerede gelişmiş seçerek bir kural oluşturun.
  4. Kaynakiçin, açılan menüden IP Adresleri seçin. Güvenli LDAP trafiği için erişim vermek istediğiniz kaynak IP adreslerini girin.
  5. Herhangi bir'i Hedefolarak seçin, ardından 636'i Hedef bağlantı noktası aralıkları içingirin.
  6. Protokolünü, TCP ve Eylemini, İzin Verolarak ayarlayın.
  7. Kuralın önceliğini belirtin ve RestrictLDAPSgibi bir ad girin.
  8. Hazır olduğunuzda, kuralı oluşturmak için ekle'yi seçin.

Yönetilen etki alanının sistem durumu iki saat içinde otomatik olarak kendini güncelleştirir ve uyarıyı kaldırır.

Bahşiş

Etki Alanı Hizmetleri'nin sorunsuz çalışması için gereken tek kural TCP bağlantı noktası 636 değildir. Daha fazla bilgi edinmek için Etki Alanı Hizmetleri Ağ güvenlik gruplarına ve gerekli bağlantı noktalarınabakın.

AADDS502: Güvenli LDAP sertifikasının süresi doluyor

Uyarı iletisi

Yönetilen etki alanının güvenli LDAP sertifikasının süresi [tarih]] tarihinde dolacak.

Çözünürlük

Güvenli LDAP içinsertifika oluşturma adımlarını izleyerek yeni bir güvenli LDAP sertifikası oluşturun. Değiştirme sertifikasını Etki Alanı Hizmetleri'ne uygulayın ve sertifikayı güvenli LDAP kullanarak bağlanan tüm istemcilere dağıtın.

Sonraki adımlar

Sorun yaşamaya devam ediyorsanız daha fazla sorun giderme yardımı için bir Azure destek isteği açın.