Problèmes connus : alertes du protocole LDAP sécurisé dans Microsoft Entra Domain Services
Les applications et services qui utilisent le protocole LDAP (Lightweight Directory Access Protocol) pour communiquer avec Microsoft Entra Domain Services peuvent être configurés pour utiliser le protocole LDAP sécurisé. Un certificat approprié et les ports réseau requis doivent être ouverts pour que le protocole LDAP sécurisé fonctionne correctement.
Cet article vous aide à comprendre et à résoudre des alertes courantes avec le protocole LDAP sécurisé dans Domain Services.
AADDS101 : Configuration du réseau LDAP sécurisé
Message d’alerte
Le protocole LDAP sécurisé sur Internet est activé pour le domaine managé. Toutefois, l’accès au port 636 n’est pas verrouillé à l’aide d’un Groupe de sécurité réseau (NSG). Cela peut exposer les comptes d’utilisateurs du domaine managé à des attaques de mots de passe par force brute.
Résolution
Lorsque vous activez le protocole LDAP sécurisé, il est recommandé de créer d’autres règles qui restreignent l’accès LDAPS entrant à des adresses IP spécifiques. Ces règles protègent le domaine managé contre les attaques par force brute. Pour mettre à jour le groupe de sécurité réseau afin de restreindre l’accès au port TCP 636 pour le protocole LDAP sécurisé, procédez comme suit :
- Dans le centre d’administration Microsoft Entra, recherchez et sélectionnez Groupes de sécurité réseau.
- Sélectionnez le groupe de sécurité réseau associé à votre domaine managé, par exemple AADDS-contoso.com-NSG, puis sélectionnez Règles de sécurité de trafic entrant
- Sélectionnez + Ajouter afin de créer une règle pour le port TCP 636. Si nécessaire, sélectionnez Avancé dans la fenêtre pour créer une règle.
- Pour la Source, sélectionnez Adresses IP dans le menu déroulant. Entrez les adresses IP sources auxquelles vous souhaitez accorder l’accès pour le trafic LDAP sécurisé.
- Choisissez Toutes en tant que Destination, puis entrez 636 dans Plages de ports de destination.
- Définissez Protocole sur TCP et Action sur Autoriser.
- Spécifiez la priorité de la règle, puis saisissez un nom tel que RestrictLDAPS.
- Lorsque vous êtes prêt, sélectionnez Ajouter pour créer la règle.
L’intégrité du domaine managé se met automatiquement à jour dans les deux heures, et l’alerte est supprimée.
Conseil
Le port TCP 636 n’est pas la seule règle nécessaire au bon fonctionnement de Domain Services. Pour obtenir plus d’informations, consultez Groupes de sécurité réseau et ports Domain Services requis.
AADDS502 : Expiration du certificat LDAP sécurisé
Message d’alerte
Le certificat LDAP sécurisé pour le domaine managé expirera le [date]].
Résolution
Créez un certificat LDAP sécurisé de remplacement en suivant les étapes de création d’un certificat pour le protocole LDAP sécurisé. Appliquez le certificat de remplacement à Domain Services et distribuez-le à tous les clients qui se connectent à l’aide du protocole LDAP sécurisé.
Étapes suivantes
Si vous rencontrez encore des problèmes, ouvrez une demande de support Azure pour avoir de l’aide supplémentaire.