Megosztás a következőn keresztül:


Oktatóanyag: Biztonságos LDAP konfigurálása felügyelt Microsoft Entra Domain Services-tartományhoz

A Microsoft Entra Domain Services által felügyelt tartománnyal való kommunikációhoz a rendszer az Lightweight Directory Access Protocol (LDAP) protokollt használja. Alapértelmezés szerint az LDAP-forgalom nincs titkosítva, ami számos környezet esetében biztonsági problémát jelent.

A Microsoft Entra Domain Services esetén konfigurálhatja a felügyelt tartományt a biztonságos Lightweight Directory Access Protocol (LDAPS) használatára. Biztonságos LDAP használata esetén a forgalom titkosítva lesz. A biztonságos LDAP-t LDAP-nak is nevezik a Secure Sockets Layer (SSL) / Transport Layer Security (TLS) protokollon keresztül.

Ez az oktatóanyag bemutatja, hogyan konfigurálhatja az LDAPS-t a Domain Services által felügyelt tartományokhoz.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Digitális tanúsítvány létrehozása a Microsoft Entra Domain Services szolgáltatással való használatra
  • Biztonságos LDAP engedélyezése a Microsoft Entra Domain Serviceshez
  • Biztonságos LDAP konfigurálása nyilvános interneten keresztül történő használatra
  • Biztonságos LDAP kötése és tesztelése felügyelt tartományhoz

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

Jelentkezzen be a Microsoft Entra felügyeleti központba

Ebben az oktatóanyagban biztonságos LDAP-t konfigurál a felügyelt tartományhoz a Microsoft Entra felügyeleti központ használatával. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.

Tanúsítvány létrehozása biztonságos LDAP-hoz

A biztonságos LDAP használatához a rendszer digitális tanúsítványt használ a kommunikáció titkosításához. Ez a digitális tanúsítvány a felügyelt tartományra van alkalmazva, és lehetővé teszi, hogy az olyan eszközök, mint LDP.exe biztonságos titkosított kommunikációt használjanak az adatok lekérdezésekor. A felügyelt tartományhoz való biztonságos LDAP-hozzáféréshez kétféleképpen hozhat létre tanúsítványt:

  • Egy nyilvános hitelesítésszolgáltatótól (CA) vagy egy vállalati hitelesítésszolgáltatótól származó tanúsítvány.
    • Ha a szervezet tanúsítványokat kap egy nyilvános hitelesítésszolgáltatótól, kérje le a biztonságos LDAP-tanúsítványt a nyilvános hitelesítésszolgáltatótól. Ha vállalati hitelesítésszolgáltatót használ a szervezetében, kérje le a vállalati hitelesítésszolgáltatótól a biztonságos LDAP-tanúsítványt.
    • A nyilvános hitelesítésszolgáltató csak akkor működik, ha egyéni DNS-nevet használ a felügyelt tartománnyal. Ha a felügyelt tartomány DNS-tartományneve .onmicrosoft.com végződik, nem hozhat létre digitális tanúsítványt az alapértelmezett tartománnyal való kapcsolat biztonságossá tételéhez. A Microsoft a .onmicrosoft.com tartomány tulajdonosa, így egy nyilvános hitelesítésszolgáltató nem állít ki tanúsítványt. Ebben a forgatókönyvben hozzon létre egy önaláírt tanúsítványt, és ezzel konfigurálja a biztonságos LDAP-t.
  • Saját maga által létrehozott önaláírt tanúsítvány.
    • Ez a megközelítés tesztelési célokra jó, és ezt mutatja ez az oktatóanyag.

A kért vagy létrehozott tanúsítványnak meg kell felelnie az alábbi követelményeknek. A felügyelt tartomány problémákba ütközik, ha érvénytelen tanúsítvánnyal engedélyezi a biztonságos LDAP-t:

  • Megbízható kiállító – A tanúsítványt olyan szolgáltatónak kell kiállítania, aki megbízható a felügyelt tartományhoz biztonságos LDAP használatával csatlakozó számítógépek számára. Ez a szolgáltató lehet nyilvános hitelesítésszolgáltató vagy a számítógépek által megbízhatónak minősülő vállalati hitelesítésszolgáltató.
  • Élettartam – A tanúsítványnak legalább a következő 3-6 hónapig érvényesnek kell lennie. A felügyelt tartomány biztonságos LDAP-hozzáférése megszakad a tanúsítvány lejáratakor.
  • Tulajdonos neve – A tanúsítvány tulajdonosának a felügyelt tartománynak kell lennie. Ha például a tartomány neve aaddscontoso.com, a tanúsítvány tulajdonosának *.aaddscontoso.com kell lennie.
    • A tanúsítvány DNS-nevének vagy tulajdonosának helyettesítő nevének helyettesítő tanúsítványnak kell lennie ahhoz, hogy a biztonságos LDAP megfelelően működjön a Domain Services szolgáltatással. A tartományvezérlők véletlenszerű neveket használnak, és eltávolíthatók vagy hozzáadhatók, hogy a szolgáltatás elérhető maradjon.
  • Kulcshasználat – A tanúsítványt digitális aláírásokhoz és kulcsok titkosításához kell konfigurálni.
  • Tanúsítvány célja – A tanúsítványnak érvényesnek kell lennie a TLS-kiszolgáló hitelesítéséhez.

Számos eszköz áll rendelkezésre önaláírt tanúsítvány létrehozásához, például OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate parancsmag stb.

Ebben az oktatóanyagban hozzunk létre egy önaláírt tanúsítványt a biztonságos LDAP-hoz a New-SelfSignedCertificate parancsmaggal.

Nyisson meg egy PowerShell-ablakot Rendszergazda istratorként, és futtassa az alábbi parancsokat. Cserélje le a $dnsName változót a saját felügyelt tartománya által használt DNS-névre, például aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Az alábbi példakimenet azt mutatja, hogy a tanúsítvány sikeresen létrejött, és a helyi tanúsítványtárolóban (LocalMachine\MY) van tárolva:

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

A szükséges tanúsítványok ismertetése és exportálása

A biztonságos LDAP használatához a hálózati forgalom nyilvános kulcsú infrastruktúrával (PKI) van titkosítva.

  • A rendszer egy titkos kulcsot alkalmaz a felügyelt tartományra.
    • Ez a titkos kulcs a biztonságos LDAP-forgalom visszafejtésére szolgál. A titkos kulcs csak a felügyelt tartományra alkalmazható, és nem terjeszthető széles körben az ügyfélszámítógépekre.
    • A titkos kulcsot tartalmazó tanúsítvány a . PFX fájlformátum.
    • A tanúsítvány exportálásakor meg kell adnia a TripleDES-SHA1 titkosítási algoritmust. Ez csak a .pfx fájlra vonatkozik, és nem befolyásolja a tanúsítvány által használt algoritmust. Vegye figyelembe, hogy a TripleDES-SHA1 lehetőség csak a Windows Server 2016-tól érhető el.
  • A rendszer nyilvános kulcsot alkalmaz az ügyfélszámítógépekre.
    • Ez a nyilvános kulcs a biztonságos LDAP-forgalom titkosítására szolgál. A nyilvános kulcs ügyfélszámítógépeken terjeszthető.
    • A titkos kulcs nélküli tanúsítványok a . CER-fájlformátum .

Ez a két kulcs, a privát és a nyilvános kulcs, győződjön meg arról, hogy csak a megfelelő számítógépek tudnak sikeresen kommunikálni egymással. Ha nyilvános hitelesítésszolgáltatót vagy vállalati hitelesítésszolgáltatót használ, a rendszer egy tanúsítványt állít ki, amely tartalmazza a titkos kulcsot, és alkalmazható egy felügyelt tartományra. A nyilvános kulcsnak már ismertnek és megbízhatónak kell lennie az ügyfélszámítógépek számára.

Ebben az oktatóanyagban létrehozott egy önaláírt tanúsítványt a titkos kulccsal, ezért exportálnia kell a megfelelő privát és nyilvános összetevőket.

Tanúsítvány exportálása a Microsoft Entra Domain Services szolgáltatáshoz

Mielőtt használhatja az előző lépésben létrehozott digitális tanúsítványt a felügyelt tartománnyal, exportálja a tanúsítványt egy . A titkos kulcsot tartalmazó PFX-tanúsítványfájl .

  1. A Futtatás párbeszédpanel megnyitásához válassza ki a Windows + R-kulcsokat.

  2. Nyissa meg a Microsoft Felügyeleti konzolt (MMC) a Futtatás párbeszédpanelen az MMC beírásával, majd válassza az OK gombot.

  3. A Felhasználói fiókok felügyelete párbeszédpanelen válassza az Igen lehetőséget az MMC rendszergazdaként való elindításához.

  4. A Fájl menüben válassza a Beépülő modul hozzáadása/eltávolítása...

  5. A Tanúsítványok beépülő modul varázslóban válassza a Számítógépfiók, majd a Tovább gombot.

  6. A Számítógép kiválasztása lapon válassza a Helyi számítógép: (azon a számítógépen, amelyen a konzol fut), majd válassza a Befejezés lehetőséget.

  7. A Beépülő modulok hozzáadása vagy eltávolítása párbeszédpanelen kattintson az OK gombra a tanúsítványok MMC-be való felvételéhez.

  8. Az MMC ablakban bontsa ki a Konzolgyökér elemet. Válassza a Tanúsítványok (Helyi számítógép) lehetőséget, majd bontsa ki a Személyes csomópontot, majd a Tanúsítványok csomópontot.

    A személyes tanúsítványok tárolójának megnyitása a Microsoft Felügyeleti konzolon

  9. Megjelenik az előző lépésben létrehozott önaláírt tanúsítvány, például aaddscontoso.com. Válassza a jobb gombbal ezt a tanúsítványt, majd válassza az Összes tevékenység > exportálása...

    Tanúsítvány exportálása a Microsoft Felügyeleti konzolon

  10. A Tanúsítvány exportálása varázslóban válassza a Tovább gombot.

  11. A tanúsítvány titkos kulcsát exportálni kell. Ha a titkos kulcs nem szerepel az exportált tanúsítványban, a felügyelt tartomány biztonságos LDAP-jának engedélyezésére irányuló művelet meghiúsul.

    A Titkos kulcs exportálása lapon válassza az Igen lehetőséget, exportálja a titkos kulcsot, majd válassza a Tovább gombot.

  12. A felügyelt tartományok csak a . A titkos kulcsot tartalmazó PFX-tanúsítványfájl formátuma. Ne exportálja a tanúsítványt . CER-tanúsítvány fájlformátuma a titkos kulcs nélkül.

    A Fájlformátum exportálása lapon válassza a Személyes adatcsere – PKCS #12 () lehetőséget. PFX) fájlformátumként az exportált tanúsítványhoz. Ha lehetséges, jelölje be az Összes tanúsítvány belefoglalása a minősítési útvonalba jelölőnégyzetet:

    Válassza ki a tanúsítvány exportálásának lehetőségét a PKCS 12 -ben (. PFX) fájlformátum

  13. Mivel ezt a tanúsítványt használják az adatok visszafejtéséhez, gondosan szabályoznia kell a hozzáférést. A tanúsítvány használatának védelméhez jelszó használható. A megfelelő jelszó nélkül a tanúsítvány nem alkalmazható egy szolgáltatásra.

    A Biztonság lapon válassza a Jelszó lehetőséget a jelszó védelméhez. PFX-tanúsítványfájl. A titkosítási algoritmusnak TripleDES-SHA1-nek kell lennie. Adja meg és erősítse meg a jelszót, majd válassza a Tovább gombot. Ezt a jelszót a következő szakaszban használjuk a felügyelt tartomány biztonságos LDAP-jának engedélyezéséhez.

    Ha a PowerShell export-pfxcertificate parancsmaggal exportál, a -CryptoAlgorithmOption jelzőt kell átadnia a TripleDES_SHA1 használatával.

    Képernyőkép a jelszó titkosításáról

  14. Az Exportálandó fájl lapon adja meg a fájl nevét és helyét, ahol exportálni szeretné a tanúsítványt, példáulC:\Users\<account-name>\azure-ad-ds.pfx. Jegyezze fel a jelszó és a hely. PFX-fájl , mivel ezekre az információkra szükség lesz a következő lépésekben.

  15. A felülvizsgálati lapon válassza a Befejezés lehetőséget a tanúsítvány exportálásához. PFX-tanúsítványfájl. A tanúsítvány sikeres exportálása után megjelenik egy megerősítést kérő párbeszédpanel.

  16. Hagyja nyitva az MMC-t a következő szakaszban való használatra.

Tanúsítvány exportálása ügyfélszámítógépekhez

Az ügyfélszámítógépeknek megbízhatónak kell lenniük a biztonságos LDAP-tanúsítvány kiállítójának, hogy sikeresen kapcsolódhassanak a felügyelt tartományhoz az LDAPS használatával. Az ügyfélszámítógépek tanúsítványt igényelnek a Domain Services által visszafejtett adatok sikeres titkosításához. Ha nyilvános hitelesítésszolgáltatót használ, a számítógépnek automatikusan megbízhatónak kell lennie ezekben a tanúsítványkibocsátókban, és rendelkeznie kell egy megfelelő tanúsítvánnyal.

Ebben az oktatóanyagban önaláírt tanúsítványt használ, és létrehozott egy tanúsítványt, amely tartalmazza az előző lépés titkos kulcsát. Most exportáljuk, majd telepítsük az önaláírt tanúsítványt az ügyfélszámítógép megbízható tanúsítványtárolójába:

  1. Lépjen vissza az MMC for Certificates (Local Computer) > Personal > Certificates tárolóba . Megjelenik az előző lépésben létrehozott önaláírt tanúsítvány, például aaddscontoso.com. Válassza a jobb gombbal ezt a tanúsítványt, majd válassza az Összes tevékenység > exportálása...

  2. A Tanúsítvány exportálása varázslóban válassza a Tovább gombot.

  3. Mivel nincs szüksége az ügyfelek titkos kulcsára, a Titkos kulcs exportálása lapon válassza a Nem lehetőséget, ne exportálja a titkos kulcsot, majd válassza a Tovább gombot.

  4. A Fájlformátum exportálása lapon válassza a Base-64 kódolású X.509 (. CER) mint az exportált tanúsítvány fájlformátuma:

    Válassza a tanúsítvány exportálásának lehetőségét a Base-64 kódolású X.509 -ben (. CER) fájlformátum

  5. Az Exportálandó fájl lapon adja meg a fájl nevét és helyét, ahol exportálni szeretné a tanúsítványt, példáulC:\Users\<account-name>\azure-ad-ds-client.cer.

  6. A felülvizsgálati lapon válassza a Befejezés lehetőséget a tanúsítvány exportálásához. CER-tanúsítványfájl. A tanúsítvány sikeres exportálása után megjelenik egy megerősítést kérő párbeszédpanel.

A . A CER-tanúsítványfájl mostantól terjeszthető olyan ügyfélszámítógépeken, amelyeknek megbízhatónak kell lenniük a felügyelt tartomány biztonságos LDAP-kapcsolatában. Telepítsük a tanúsítványt a helyi számítógépre.

  1. Nyissa meg Fájlkezelő, és keresse meg azt a helyet, ahová a . CER-tanúsítványfájl, például C:\Users\<account-name>\azure-ad-ds-client.cer.

  2. Kattintson a jobb gombbal a gombra . CER-tanúsítványfájl , majd válassza a Tanúsítvány telepítése lehetőséget.

  3. A Tanúsítványimportálás varázslóban válassza a tanúsítvány helyi gépen való tárolását, majd válassza a Tovább elemet:

    Válassza a tanúsítvány importálásának lehetőségét a helyi géptárolóba

  4. Amikor a rendszer kéri, válassza az Igen lehetőséget, hogy a számítógép módosításokat hajthasson végre.

  5. Válassza ki a tanúsítványtípus alapján automatikusan a tanúsítványtárolót, majd válassza a Tovább gombot.

  6. A véleményezés lapon kattintson a Befejezés gombra az importáláshoz. CER-tanúsítvány. fájl A tanúsítvány sikeres importálása után megjelenik egy megerősítést kérő párbeszédpanel.

Biztonságos LDAP engedélyezése a Microsoft Entra Domain Serviceshez

A titkos kulcsot tartalmazó digitális tanúsítvány és a kapcsolat megbízhatóságára beállított ügyfélszámítógép most engedélyezze a biztonságos LDAP-t a felügyelt tartományon. A biztonságos LDAP felügyelt tartományon való engedélyezéséhez hajtsa végre a következő konfigurációs lépéseket:

  1. A Microsoft Entra Felügyeleti központban adja meg a tartományi szolgáltatásokat az Erőforrások keresése mezőbe. Válassza ki a Microsoft Entra Domain Servicest a keresési eredményből.

  2. Válassza ki a felügyelt tartományt, például aaddscontoso.com.

  3. A Microsoft Entra Domain Services ablak bal oldalán válassza a Biztonságos LDAP lehetőséget.

  4. Alapértelmezés szerint a felügyelt tartomány biztonságos LDAP-hozzáférése le van tiltva. Állítsa be a Biztonságos LDAP kapcsolót az engedélyezéshez.

  5. Alapértelmezés szerint a felügyelt tartomány biztonságos LDAP-hozzáférése az interneten keresztül le van tiltva. Ha engedélyezi a nyilvános biztonságos LDAP-hozzáférést, a tartománya érzékeny a jelszóval kapcsolatos találgatásos támadásokra az interneten keresztül. A következő lépésben egy hálózati biztonsági csoport úgy van konfigurálva, hogy csak a szükséges forrás IP-címtartományokhoz való hozzáférést zárolja.

    Kapcsolja be a biztonságos LDAP-hozzáférés engedélyezése az interneten keresztül az Engedélyezés gombra.

  6. Válassza a mappa ikont a mellette . PFX-fájl biztonságos LDAP-tanúsítvánnyal. Tallózással keresse meg a . PFX-fájl , majd válassza ki az előző lépésben létrehozott tanúsítványt, amely tartalmazza a titkos kulcsot.

    Fontos

    A tanúsítványkövetelmények előző szakaszában leírtak szerint nem használhat nyilvános hitelesítésszolgáltatótól származó tanúsítványt az alapértelmezett .onmicrosoft.com tartománnyal. A Microsoft a .onmicrosoft.com tartomány tulajdonosa, így egy nyilvános hitelesítésszolgáltató nem állít ki tanúsítványt.

    Győződjön meg arról, hogy a tanúsítvány a megfelelő formátumban van. Ha nem, az Azure-platform tanúsítványérvényesítési hibákat generál a biztonságos LDAP engedélyezésekor.

  7. Adja meg a visszafejtéshez szükséges jelszót. A PFX-fájl egy korábbi lépésben lett beállítva, amikor a tanúsítványt exportálták egy . PFX-fájl .

  8. A biztonságos LDAP engedélyezéséhez válassza a Mentés lehetőséget.

    Biztonságos LDAP engedélyezése felügyelt tartományhoz a Microsoft Entra felügyeleti központban

Megjelenik egy értesítés arról, hogy a biztonságos LDAP konfigurálva van a felügyelt tartományhoz. A művelet befejezéséig nem módosíthatja a felügyelt tartomány egyéb beállításait.

A felügyelt tartomány biztonságos LDAP-jának engedélyezése néhány percet vesz igénybe. Ha a megadott biztonságos LDAP-tanúsítvány nem felel meg a szükséges feltételeknek, a felügyelt tartomány biztonságos LDAP-jának engedélyezésére irányuló művelet meghiúsul.

A hiba néhány gyakori oka az, ha a tartománynév helytelen, a tanúsítvány titkosítási algoritmusa nem TripleDES-SHA1, vagy a tanúsítvány hamarosan lejár vagy már lejárt. A tanúsítványt újra létrehozhatja érvényes paraméterekkel, majd ezzel a frissített tanúsítvánnyal engedélyezheti a biztonságos LDAP-t.

Lejáró tanúsítvány módosítása

  1. Hozzon létre egy helyettesítő biztonságos LDAP-tanúsítványt a biztonságos LDAP-tanúsítvány létrehozásához szükséges lépések végrehajtásával.
  2. Ha a helyettesítő tanúsítványt a Domain Services szolgáltatásra szeretné alkalmazni, a Microsoft Entra Felügyeleti központ Microsoft Entra Domain Services bal oldali menüjében válassza a Biztonságos LDAP, majd a Tanúsítvány módosítása lehetőséget.
  3. Ossza el a tanúsítványt minden olyan ügyfél számára, amely biztonságos LDAP használatával csatlakozik.

Biztonságos LDAP-hozzáférés zárolása az interneten keresztül

Ha engedélyezi a biztonságos LDAP-hozzáférést az interneten keresztül a felügyelt tartományhoz, az biztonsági fenyegetést okoz. A felügyelt tartomány elérhető az internetről a 636-os TCP-porton. Javasoljuk, hogy a felügyelt tartományhoz való hozzáférést a környezet meghatározott ismert IP-címére korlátozza. Egy Azure-beli hálózati biztonsági csoportszabály használható a biztonságos LDAP-hozzáférés korlátozására.

Hozzunk létre egy szabályt, amely engedélyezi a bejövő biztonságos LDAP-hozzáférést a 636-os TCP-porton keresztül egy megadott IP-címkészletből. Egy alacsonyabb prioritású alapértelmezett DenyAll-szabály az internetről érkező összes bejövő forgalomra vonatkozik, így csak a megadott címek érhetik el a felügyelt tartományt biztonságos LDAP használatával.

  1. A Microsoft Entra Felügyeleti központban keresse meg és válassza ki az erőforráscsoportokat.

  2. Válassza ki az erőforráscsoportot (például myResourceGroup), majd válassza ki a hálózati biztonsági csoportot( például aaads-nsg).

  3. Megjelenik a meglévő bejövő és kimenő biztonsági szabályok listája. A hálózati biztonsági csoport ablakának bal oldalán válassza Gépház > bejövő biztonsági szabályokat.

  4. Válassza a Hozzáadás lehetőséget, majd hozzon létre egy szabályt a 636-os TCP-port engedélyezéséhez. A nagyobb biztonság érdekében válassza ki a forrást IP-címként, majd adja meg saját érvényes IP-címét vagy tartományát a szervezet számára.

    Beállítás Érték
    Forrás IP-címek
    Forrás IP-címei/ CIDR-tartományai A környezet érvényes IP-címe vagy tartománya
    Forrásporttartományok *
    Cél Bármely
    Célporttartományok 636
    Protokoll TCP
    Művelet Engedélyezés
    Prioritás 401
    Név AllowLDAPS
  5. Ha elkészült, kattintson a Hozzáadás gombra a szabály mentéséhez és alkalmazásához.

    Hálózati biztonsági csoport szabályának létrehozása az LDAPS-hozzáférés interneten keresztüli védelméhez

DNS-zóna konfigurálása külső hozzáféréshez

Ha az interneten keresztül engedélyezve van a biztonságos LDAP-hozzáférés, frissítse a DNS-zónát, hogy az ügyfélszámítógépek megtalálják ezt a felügyelt tartományt. A biztonságos LDAP külső IP-cím a felügyelt tartomány Tulajdonságok lapján jelenik meg:

A felügyelt tartomány biztonságos LDAP külső IP-címének megtekintése a Microsoft Entra Felügyeleti központban

Konfigurálja a külső DNS-szolgáltatót úgy, hogy hozzon létre egy gazdagéprekordot(például ldaps) a külső IP-cím feloldásához. Ha először helyileg szeretne tesztelni a számítógépen, létrehozhat egy bejegyzést a Windows gazdagépek fájljában. A helyi számítógépen található gazdagépfájl sikeres szerkesztéséhez nyissa meg a Jegyzettömb rendszergazdaként, majd nyissa meg a fájltC:\Windows\System32\drivers\etc\hosts.

Az alábbi példa DNS-bejegyzés a külső DNS-szolgáltatónál vagy a helyi gazdagépfájlban feloldja a következő külső IP-címre 168.62.205.103irányuló ldaps.aaddscontoso.com forgalmat:

168.62.205.103    ldaps.aaddscontoso.com

Lekérdezések tesztelése a felügyelt tartományra

A felügyelt tartományhoz való csatlakozáshoz és kötéshez, valamint az LDAP-alapú kereséshez használja a LDP.exe eszközt. Ez az eszköz szerepel a Távoli kiszolgáló Rendszergazda istration Tools (RSAT) csomagban. További információ: Távoli kiszolgáló Rendszergazda istration Tools telepítése.

  1. Nyissa meg LDP.exe , és csatlakozzon a felügyelt tartományhoz. Válassza a Csatlakozás ion, majd a Csatlakozás... lehetőséget.
  2. Adja meg az előző lépésben létrehozott felügyelt tartomány biztonságos LDAP DNS-tartománynevét, például ldaps.aaddscontoso.com. A biztonságos LDAP használatához állítsa a portot 636-ra, majd jelölje be az SSL jelölőnégyzetét.
  3. Kattintson az OK gombra a felügyelt tartományhoz való csatlakozáshoz.

Ezután kötés a felügyelt tartományhoz. A felhasználók (és szolgáltatásfiókok) nem tudnak egyszerű LDAP-kötéseket végrehajtani, ha letiltotta az NTLM jelszókivonat-szinkronizálását a felügyelt tartományon. Az NTLM-jelszókivonat-szinkronizálás letiltásával kapcsolatos további információkért tekintse meg a felügyelt tartomány biztonságossá tételét ismertető témakört.

  1. Válassza a Csatlakozás ion menüt, majd válassza a Kötés... lehetőséget.
  2. Adja meg a felügyelt tartományhoz tartozó felhasználói fiók hitelesítő adatait. Adja meg a felhasználói fiók jelszavát, majd adja meg a tartományát, például aaddscontoso.com.
  3. A Kötés típusa beállításnál válassza a hitelesítő adatokkal rendelkező Kötés lehetőséget.
  4. Válassza az OK gombot a felügyelt tartományhoz való kötéshez.

A felügyelt tartományban tárolt objektumok megtekintése:

  1. Válassza a Nézet menüt, majd a Fa lehetőséget.

  2. Hagyja üresen a BaseDN mezőt, majd kattintson az OK gombra.

  3. Válasszon ki egy tárolót, például az AADDC-felhasználókat, majd válassza a jobb gombbal a tárolót, és válassza a Keresés lehetőséget.

  4. Hagyja meg az előre kitöltött mezőket, majd válassza a Futtatás lehetőséget. A lekérdezés eredményei a jobb oldali ablakban jelennek meg, ahogyan az alábbi példakimenetben is látható:

    Objektumok keresése a felügyelt tartományban a LDP.exe

Egy adott tároló közvetlen lekérdezéséhez a Nézetfa > menüben megadhat egy AlapDN-t, például OU=AADDC Users,DC=AADDSCONTOSO,DC=COM vagy OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. A lekérdezések formázásával és létrehozásával kapcsolatos további információkért tekintse meg az LDAP-lekérdezés alapjait.

Feljegyzés

Ha önaláírt tanúsítványt használ, győződjön meg arról, hogy önaláírt tanúsítványt ad hozzá az LDAPS megbízható legfelső szintű hitelesítésszolgáltatóihoz, hogy működjön LDP.exe

Az erőforrások eltávolítása

Ha dns-bejegyzést adott hozzá a számítógép helyi gazdagépfájljához az oktatóanyaghoz való kapcsolódás teszteléséhez, távolítsa el ezt a bejegyzést, és adjon hozzá egy hivatalos rekordot a DNS-zónában. Ha el szeretné távolítani a bejegyzést a helyi gazdagépfájlból, hajtsa végre a következő lépéseket:

  1. A helyi gépen nyissa meg a Jegyzettömb rendszergazdaként
  2. Keresse meg és nyissa meg a fájlt C:\Windows\System32\drivers\etc\hosts.
  3. Törölje a hozzáadott rekord sorát, például 168.62.205.103 ldaps.aaddscontoso.com

Hibaelhárítás

Ha hibaüzenet jelenik meg, amely szerint LDAP.exe nem tud csatlakozni, próbálkozzon a kapcsolat lekérésének különböző szempontjaival:

  1. A tartományvezérlő konfigurálása
  2. Az ügyfél konfigurálása
  3. Hálózat
  4. A TLS-munkamenet létrehozása

Ha a tanúsítvány tulajdonosának neve megegyezik, a tartományvezérlő a Domain Services tartománynevét használja (nem a Microsoft Entra tartománynevet) a tanúsítványtárban való kereséshez. Helyesírási hibák esetén például a tartományvezérlő nem választhatja ki a megfelelő tanúsítványt.

Az ügyfél megkísérli létrehozni a TLS-kapcsolatot a megadott név alapján. A forgalomnak végig kell haladnia. A tartományvezérlő elküldi a kiszolgáló hitelesítés tanúsítványának nyilvános kulcsát. A tanúsítványnak megfelelő használattal kell rendelkeznie a tanúsítványban, a tulajdonos nevében aláírt névnek kompatibilisnek kell lennie ahhoz, hogy az ügyfél megbízható legyen abban, hogy a kiszolgáló az a DNS-név, amelyhez csatlakozik (azaz egy helyettesítő karakter működik, helyesírási hibák nélkül), és az ügyfélnek megbízhatónak kell lennie a kiállítóban. Az adott láncban található problémákat a rendszernaplóban ellenőrizheti a Eseménynapló, és szűrheti azokat az eseményeket, amelyekben a forrás egyenlő a Schannel. Miután ezek a darabok elkészültek, létrehoznak egy munkamenetkulcsot.

További információ: TLS Handshake.

Következő lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

  • Digitális tanúsítvány létrehozása a Microsoft Entra Domain Services szolgáltatással való használatra
  • Biztonságos LDAP engedélyezése a Microsoft Entra Domain Serviceshez
  • Biztonságos LDAP konfigurálása nyilvános interneten keresztül történő használatra
  • Biztonságos LDAP kötése és tesztelése felügyelt tartományhoz