已知問題:Microsoft Entra Domain Services 中的安全 LDAP 警示
使用輕量型目錄存取通訊協定 (LDAP) 與 Microsoft Entra Domain Services 通訊的應用程式和服務,可以 設定為使用安全 LDAP。 必須開啟適當的憑證和必要的網路埠,安全 LDAP 才能正常運作。
本文可協助您了解並解決網域服務中使用安全 LDAP 存取的常見警示。
AADDS101:安全LDAP網路設定
警示訊息
已針對受控網域啟用透過因特網的安全LDAP。 不過,並未使用網路安全群組鎖定對埠 636 的存取。 這可能會使受控網域上的用戶帳戶暴露於密碼暴力破解攻擊。
解析度
當您啟用安全 LDAP 時,建議您建立額外的規則,以限制特定 IP 位址的輸入 LDAPS 存取。 這些規則會保護受控網域不受暴力密碼破解攻擊。 若要更新網路安全組以限制安全 LDAP 的 TCP 連接埠 636 存取,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心中,搜尋並選取 [網路安全組]。
- 選擇與您的受控網域相關聯的網路安全組,例如 AADDS-contoso.com-NSG,然後選取 [入站的安全性規則]
- 選取 [+ 新增 以建立 TCP 連接埠 636 的規則。 如有需要,請在視窗中選取 [進階],以建立規則。
- 針對 來源,從下拉功能表中選擇 IP 位址。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
- 選擇 任何 作為 目的地,然後輸入 636 作為 目的地埠範圍。
- 將 通訊協定 設定為 TCP ,並將 [動作] 設定為 [允許]。
- 指定規則的優先順序,然後輸入名稱,例如 RestrictLDAPS。
- 準備好時,請選取 新增 以建立規則。
受控網域的健康情況會在兩小時內自動更新自己,並移除警示。
提示
TCP 連接埠 636 並不是網域服務順利執行所需的唯一規則。 若要深入瞭解,請參閱 網域服務網路安全組與必要的埠。
AADDS502:安全 LDAP 憑證到期
警示訊息
受控網域的安全 LDAP 憑證將在 [日期] 到期。
解析度
依照步驟建立替代的安全 LDAP 憑證,以 為安全 LDAP建立憑證。 將取代憑證套用至 Domain Services,並將憑證散發給使用安全 LDAP 連線的任何用戶端。
後續步驟
如果您仍有問題,開啟 Azure 支援要求,以取得更多疑難解答協助。