Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las aplicaciones y los servicios que usan el protocolo ligero de acceso a directorios (LDAP) para comunicarse con Microsoft Entra Domain Services se pueden configurar para usar LDAP seguro. Un certificado adecuado y los puertos de red necesarios deben estar abiertos para que LDAP seguro funcione correctamente.
Este artículo le ayuda a comprender y resolver alertas comunes con acceso LDAP seguro en Domain Services.
AADDS101: configuración de red LDAP segura
Mensaje de alerta
LDAP seguro a través de Internet está habilitado para el dominio administrado. Sin embargo, el acceso al puerto 636 no está bloqueado mediante un grupo de seguridad de red. Esto puede exponer cuentas de usuario en el dominio administrado a ataques por fuerza bruta de contraseña.
Resolución
Al habilitar LDAP seguro, se recomienda crear reglas adicionales que restrinjan el acceso LDAPS entrante a direcciones IP específicas. Estas reglas protegen el dominio administrado frente a ataques por fuerza bruta. Para actualizar el grupo de seguridad de red para restringir el acceso al puerto TCP 636 para LDAP seguro, siga estos pasos:
- En el centro de administración de Microsoft Entra, busque y seleccione Grupos de seguridad de red.
- Elija el grupo de seguridad de red asociado al dominio administrado, como AADDS-contoso.com-NSG y, a continuación, seleccione Reglas de seguridad de entrada.
- Seleccione + Agregar para crear una regla para el puerto TCP 636. Si es necesario, seleccione Opciones avanzadas en la ventana para crear una regla.
- En Origen, elija Direcciones IP en el menú desplegable. Escriba las direcciones IP de origen que desea conceder acceso para el tráfico LDAP seguro.
- Elija Cualquiera como Destino y escriba 636 para Intervalos de puertos de destino.
- Establezca el protocolo como TCP y la acción en Permitir.
- Especifique la prioridad de la regla y escriba un nombre como RestrictLDAPS.
- Cuando esté listo, seleccione Agregar para crear la regla.
El estado del dominio administrado se actualiza automáticamente en dos horas y elimina la alerta.
Sugerencia
El puerto TCP 636 no es la única regla necesaria para que Domain Services se ejecute sin problemas. Para más información, consulte los grupos de seguridad de red de Domain Services y los puertos necesarios.
AADDS502: El certificado LDAP seguro está expirando
Mensaje de alerta
El certificado LDAP seguro para el dominio administrado expirará en [fecha]].
Resolución
Cree un certificado LDAP seguro de reemplazo siguiendo los pasos para crear un certificado para LDAP seguro. Aplique el certificado de reemplazo a Domain Services y distribuya el certificado a los clientes que se conectan mediante LDAP seguro.
Pasos siguientes
Si los problemas persisten, abra una solicitud de Soporte técnico de Azure para obtener ayuda adicional de solución de problemas.