Bekannte Probleme: Secure LDAP-Warnungen in Microsoft Entra Domain Services

  • Artikel

Anwendungen und Dienste, die LDAP (Lightweight Directory Access Protocol) für die Kommunikation mit Microsoft Entra Domain Services verwenden, können für die Verwendung von Secure LDAP konfiguriert werden. Ein geeignetes Zertifikat muss vorhanden sein, und die erforderlichen Netzwerkports müssen geöffnet sein, damit Secure LDAP ordnungsgemäß funktioniert.

Dieser Artikel hilft Ihnen dabei, häufige Warnungen bei einem Zugriff über Secure LDAP in Domain Services zu verstehen und aufzulösen.

AADDS101: Secure LDAP-Netzwerkkonfiguration

Warnmeldung

Secure LDAP über das Internet ist für die verwaltete Domäne aktiviert. Der Zugriff auf Port 636 ist jedoch nicht über eine Netzwerksicherheitsgruppe gesperrt. Dies kann Brute-Force-Kennwortangriffe auf Benutzerkonten in der verwalteten Domäne möglich machen.

Lösung

Wenn Sie Secure LDAP aktivieren, empfiehlt es sich, zusätzliche Regeln zu erstellen, die den eingehenden LDAPS-Zugriff auf bestimmte IP-Adressen einschränken. Diese Regeln schützen die verwaltete Domäne vor Brute-Force-Angriffen. Führen Sie die folgenden Schritte aus, um die Netzwerksicherheitsgruppe zu aktualisieren und den Zugriff auf TCP-Port 636 für Secure LDAP zu beschränken:

  1. Suchen Sie im Microsoft Entra Admin Center nach der Option Netzwerksicherheitsgruppen, und wählen Sie sie aus.
  2. Wählen Sie die Netzwerksicherheitsgruppe aus, die Ihrer verwalteten Domäne zugeordnet ist, z.B. AADDS-contoso.com-NSG, und wählen Sie dann Eingangssicherheitsregeln aus.
  3. Wählen Sie + Hinzufügen aus, um eine Regel für den TCP-Port 636 zu erstellen. Wählen Sie bei Bedarf im Fenster Erweitert aus, um eine Regel zu erstellen.
  4. Wählen Sie als Quelle im Dropdown Menü IP-Adressen aus. Geben Sie die Quell-IP-Adressen ein, denen Sie Zugriff auf LDAPS-Datenverkehr gewähren möchten.
  5. Wählen Sie Beliebig als Ziel aus, und geben Sie dann 636 für Zielportbereiche ein.
  6. Legen Sie TCP als Protokoll und Zulassen als Aktion fest.
  7. Geben Sie die Priorität für die Regel an, und geben Sie dann einen Namen ein, z.B. RestrictLDAPS.
  8. Wählen Sie abschließend Hinzufügen aus, um die Regel zu erstellen.

Die Integrität der verwalteten Domäne wird innerhalb von zwei Stunden automatisch aktualisiert, und die Warnung wird entfernt.

Tipp

TCP-Port 636 ist nicht die einzige Regel, die erforderlich ist, damit Domain Services reibungslos ausgeführt wird. Weitere Informationen finden Sie unter Domain Services-Netzwerksicherheitsgruppen und erforderliche Ports.

AADDS502: Secure LDAP-Zertifikat läuft ab

Warnmeldung

Das sichere LDAP-Zertifikat für die verwaltete Domäne läuft am [Datum] ab.

Lösung

Erstellen Sie ein Ersatz-Secure LDAP-Zertifikat, indem Sie die unter Erstellen eines Zertifikats für Secure LDAP beschriebenen Schritte ausführen. Wenden Sie das Ersatzzertifikat auf Domain Services an, und verteilen Sie das Zertifikat an alle Clients, die mithilfe von Secure LDAP eine Verbindung herstellen.

Nächste Schritte

Falls weiterhin Probleme auftreten, öffnen Sie eine Azure-Supportanfrage, um weitere Hilfe bei der Problembehandlung zu erhalten.