Tutorial: Mengonfigurasi LDAP aman untuk domain terkelola Microsoft Entra Domain Services

  • Artikel

Untuk berkomunikasi dengan domain terkelola Microsoft Entra Domain Services, gunakan Protokol Akses Direktori Ringan (LDAP). Secara default, lalu lintas LDAP tidak dienkripsi, yang merupakan masalah keamanan bagi banyak lingkungan.

Dengan Microsoft Entra Domain Services, Anda dapat mengonfigurasi domain terkelola untuk menggunakan Protokol Akses Direktori Ringan (LDAPS) yang aman. Ketika Anda menggunakan LDAP yang aman, lalu lintas akan dienkripsi. LDAP aman juga dikenal sebagai LDAP melalui Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

Tutorial ini menunjukkan kepada Anda cara mengonfigurasi LDAPS untuk domain terkelola Domain Services.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat sertifikat digital untuk digunakan dengan Microsoft Entra Domain Services
  • Mengaktifkan LDAP aman untuk Microsoft Entra Domain Services
  • Mengkonfigurasi LDAP aman untuk digunakan melalui internet publik
  • Mengikat dan menguji LDAP aman untuk domain terkelola

Jika Anda tidak memiliki langganan Azure, buat sebuah akun sebelum Anda memulai.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Masuk ke pusat admin Microsoft Entra

Dalam tutorial ini, Anda mengonfigurasi LDAP aman untuk domain terkelola menggunakan pusat admin Microsoft Entra. Untuk memulai, pertama-tama masuk ke pusat admin Microsoft Entra.

Membuat sertifikat untuk LDAP aman

Untuk menggunakan LDAP aman, sertifikat digital digunakan untuk mengenkripsi komunikasi. Sertifikat digital ini diterapkan ke domain terkelola Anda, dan memungkinkan alat seperti LDP.exe menggunakan komunikasi terenkripsi aman saat meminta data. Ada dua cara untuk membuat sertifikat untuk akses LDAP yang aman ke domain terkelola:

  • Sertifikat dari otoritas sertifikat publik (OS) atau OS perusahaan.
    • Jika organisasi Anda mendapatkan sertifikat dari OS publik, dapatkan sertifikat LDAP aman dari OS publik tersebut. Jika Anda menggunakan OS perusahaan di organisasi Anda, dapatkan sertifikat LDAP aman dari OS perusahaan.
    • OS publik hanya berfungsi saat Anda menggunakan nama DNS kustom dengan domain terkelola Anda. Jika nama domain DNS dari domain terkelola Anda berakhiran .onmicrosoft.com, Anda tidak bisa membuat sertifikat digital untuk mengamankan koneksi dengan domain default ini. Microsoft memiliki domain .onmicrosoft.com, sehingga OS publik tidak akan menerbitkan sertifikat. Dalam situasi ini, buat sertifikat yang ditandatangani sendiri dan gunakan untuk mengonfigurasi LDAP yang aman.
  • Sertifikat yang ditandatangani sendiri yang Anda buat sendiri.
    • Pendekatan ini baik untuk tujuan pengujian, dan apa yang ditunjukkan dalam tutorial ini.

Sertifikat yang Anda minta atau buat harus memenuhi persyaratan berikut. Domain terkelola Anda mengalami masalah jika Anda mengaktifkan LDAP aman dengan sertifikat yang tidak valid:

  • Penerbit tepercaya - Sertifikat harus dikeluarkan oleh otoritas yang dipercaya oleh komputer yang terhubung ke domain terkelola menggunakan LDAP aman. Otoritas ini mungkin OS publik atau OS Perusahaan yang dipercaya oleh komputer ini.
  • Masa Berlaku - Sertifikat harus berlaku setidaknya selama 3-6 bulan ke depan. Akses LDAP aman ke domain terkelola Anda dapat terganggu saat sertifikat kedaluwarsa.
  • Nama subjek - Nama subjek pada sertifikat harus menjadi domain terkelola Anda. Misalnya, jika domain Anda bernama aaddscontoso.com, nama subjek sertifikat harus *.aaddscontoso.com.
    • Nama DNS atau nama alternatif subjek sertifikat harus berupa sertifikat kartubebas untuk memastikan LDAP aman berfungsi dengan baik dengan Layanan Domain. Pengendali Domain menggunakan nama acak dan dapat dihapus atau ditambahkan untuk memastikan layanan tetap tersedia.
  • Penggunaan kunci - Sertifikat harus dikonfigurasi untuk tanda tangan digital dan penyandian kunci.
  • Tujuan sertifikat - Sertifikat harus valid untuk autentikasi server TLS.

Ada beberapa alat yang tersedia untuk membuat sertifikat yang ditandatangani sendiri seperti OpenSSL, Keytool, MakeCert, cmdlet New-SelfSignedCertificate, dll.

Dalam tutorial ini, mari kita membuat sertifikat yang ditandatangani sendiri untuk LDAP yang aman menggunakan cmdlet New-SelfSignedCertificate.

Buka jendela PowerShell sebagai Administrator dan jalankan perintah berikut ini. Ganti variabel $dnsName dengan nama DNS yang digunakan oleh domain terkelola Anda sendiri, seperti aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Contoh output berikut menunjukkan bahwa sertifikat berhasil dibuat dan disimpan di penyimpanan sertifikat lokal(LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Memahami dan mengekspor sertifikat yang diperlukan

Untuk menggunakan LDAP yang aman, lalu lintas jaringan dienkripsi menggunakan infrastruktur kunci publik (PKI).

  • Kunci privat diterapkan ke domain terkelola.
    • Kunci pribadi ini digunakan untuk mendekripsi lalu lintas LDAP yang aman. Kunci privat hanya boleh diterapkan ke domain terkelola dan tidak didistribusikan secara luas ke komputer klien.
    • Sertifikat yang menyertakan kunci privat menggunakan format file .PFX.
    • Saat mengekspor sertifikat, Anda harus menentukan algoritma enkripsi TripleDES-SHA1. Ini berlaku untuk file .pfx saja dan tidak berdampak pada algoritma yang digunakan oleh sertifikat itu sendiri. Perhatikan bahwa opsi TripleDES-SHA1 hanya tersedia dimulai dengan Windows Server 2016.
  • Kunci publik diterapkan ke komputer klien.
    • Kunci publik ini digunakan untuk mengenkripsi lalu lintas LDAP yang aman. Kunci publik dapat didistribusikan ke komputer klien.
    • Sertifikat tanpa kunci privat menggunakan format file .CER.

Kedua kunci ini, kunci pribadidan kunci publik, memastikan bahwa hanya komputer yang sesuai yang dapat berhasil berkomunikasi satu sama lain. Jika Anda menggunakan OS publik atau OS perusahaan, Anda akan diterbitkan dengan sertifikat yang menyertakan kunci privat dan dapat diterapkan ke domain terkelola. Kunci publik harus sudah diketahui dan dipercaya oleh komputer klien.

Dalam tutorial ini, Anda membuat sertifikat yang ditandatangani sendiri dengan kunci pribadi, jadi Anda perlu mengekspor komponen pribadi dan publik yang sesuai.

Mengekspor sertifikat untuk Microsoft Entra Domain Services

Sebelum Anda bisa menggunakan sertifikat digital yang dibuat di langkah sebelumnya dengan domain terkelola Anda, ekspor sertifikat ke file sertifikat .PFX yang menyertakan kunci pribadi.

  1. Untuk membuka dialog Jalankan, pilih tombolWindows + R.

  2. Buka Microsoft Management Console (MMC) dengan memasukkan mmc dalam dialog Jalankan, lalu pilih OK.

  3. Pada prompt Kontrol Akun Pengguna, lalu pilih Ya untuk meluncurkan MMC sebagai administrator.

  4. Dari menu File, pilih Tambahkan/Hapus Snap-in...

  5. Di panduan snap-in Sertifikat, pilih Akun komputer, lalu pilih Berikutnya.

  6. Pada halaman Pilih Komputer, pilih Komputer lokal: (komputer yang dijalankan konsol ini), lalu pilih Selesai.

  7. Dalam dialog Tambahkan atau Hapus Snap-in, pilih OK untuk menambahkan snap-in sertifikat ke MMC.

  8. Di jendela MMC, perluas Console Root. Pilih Sertifikat (Komputer Lokal), lalu perluas simpul Pribadi, diikuti oleh simpul Sertifikat.

    Open the personal certificates store in the Microsoft Management Console

  9. Sertifikat yang ditandatangani sendiri yang dibuat pada langkah sebelumnya ditampilkan, seperti aaddscontoso.com. Klik kanan sertifikat ini, lalu pilih Semua Tugas > Ekspor...

    Export certificate in the Microsoft Management Console

  10. Di Wizard Ekspor Sertifikat, pilih Berikutnya.

  11. Kunci privat untuk sertifikat harus diekspor. Jika kunci privat tidak disertakan dalam sertifikat yang diekspor, proses pengaktifan LDAP aman untuk domain terkelola Anda gagal.

    Pada halaman Ekspor Kunci Pribadi, pilih Ya, ekspor kunci pribadi, lalu pilih Berikutnya.

  12. Domain terkelola hanya mendukung format file sertifikat .PFX yang menyertakan kunci pribadi. Jangan ekspor sertifikat sebagai format file sertifikat .CER tanpa kunci pribadi.

    Pada halaman Ekspor Format File, pilih Pertukaran Informasi Pribadi - PKCS #12 (.PFX) sebagai format file untuk sertifikat yang diekspor. Centang kotak Sertakan semua sertifikat di jalur sertifikasi jika memungkinkan:

    Choose the option to export the certificate in the PKCS 12 (.PFX) file format

  13. Karena sertifikat ini digunakan untuk mendekripsi data, Anda harus mengontrol akses dengan hati-hati. Kata sandi dapat digunakan untuk melindungi penggunaan sertifikat. Tanpa kata sandi yang benar, sertifikat tidak dapat diterapkan ke layanan.

    Pada halaman Keamanan, pilih opsi Kata Sandi untuk memproteksi file sertifikat .PFX. Algoritma enkripsi harus TripleDES-SHA1. Masukkan dan konfirmasi kata sandi, lalu pilih Berikutnya. Kata sandi ini digunakan di bagian berikutnya untuk mengaktifkan LDAP aman untuk domain terkelola Anda.

    Jika Anda mengekspor menggunakan cmdlet export-pfxcertificate PowerShell, Anda perlu melewati bendera -CryptoAlgorithmOption menggunakan TripleDES_SHA1.

    Screenshot of how to encrypt the password

  14. Pada halaman File ke Ekspor , tentukan nama file dan lokasi tempat Anda ingin mengekspor sertifikat, seperti C:\Users\<account-name>\azure-ad-ds.pfx. Perhatikan kata sandi dan lokasi file .PFX karena informasi ini akan diperlukan di langkah-langkah selanjutnya.

  15. Pada halaman tinjau, pilih Selesai untuk mengekspor sertifikat file sertifikat .PFX. Dialog konfirmasi ditampilkan ketika sertifikat berhasil diekspor.

  16. Biarkan MMC terbuka untuk digunakan di bagian berikut.

Mengekspor sertifikat untuk komputer klien

Komputer klien harus mempercayai penerbit sertifikat LDAP aman untuk dapat tersambung ke domain terkelola menggunakan LDAPS. Komputer klien memerlukan sertifikat untuk berhasil mengenkripsi data yang didekripsi oleh Layanan Domain. Jika Anda menggunakan OS publik, komputer harus secara otomatis mempercayai penerbit sertifikat ini dan memiliki sertifikat yang sesuai.

Dalam tutorial ini Anda menggunakan sertifikat yang ditandatangani sendiri, dan menghasilkan sertifikat yang menyertakan kunci pribadi pada langkah sebelumnya. Sekarang mari kita ekspor dan kemudian memasang sertifikat yang ditandatangani sendiri ke dalam penyimpanan sertifikat tepercaya di komputer klien:

  1. Kembali ke MMC untuk penyimpanan Sertifikat (Komputer Lokal) > Pribadi > Sertifikat. Sertifikat yang ditandatangani sendiri yang dibuat pada langkah sebelumnya ditampilkan, seperti aaddscontoso.com. Klik kanan sertifikat ini, lalu pilih Semua Tugas > Ekspor...

  2. Di Wizard Ekspor Sertifikat, pilih Berikutnya.

  3. Karena Anda tidak memerlukan kunci pribadi untuk klien, pada halaman Ekspor Kunci Pribadi pilih Tidak, jangan ekspor kunci pribadi, lalu pilih Berikutnya.

  4. Pada halaman Ekspor Format File, pilih Base-64 encoded X.509 (.CER) sebagai format file untuk sertifikat yang diekspor:

    Choose the option to export the certificate in the Base-64 encoded X.509 (.CER) file format

  5. Pada halaman File ke Ekspor , tentukan nama file dan lokasi tempat Anda ingin mengekspor sertifikat, seperti C:\Users\<account-name>\azure-ad-ds-client.cer.

  6. Pada halaman tinjau, pilih Selesai untuk mengekspor sertifikat menjadi file sertifikat .CER. Dialog konfirmasi ditampilkan ketika sertifikat berhasil diekspor.

File sertifikat .CER sekarang dapat didistribusikan ke komputer klien yang butuh kepercayaan sambungan LDAP yang aman ke domain terkelola. Mari kita pasang sertifikat di komputer lokal.

  1. Buka File Explorer dan telusuri ke lokasi tempat Anda menyimpan . File sertifikat CER , seperti C:\Users\<account-name>\azure-ad-ds-client.cer.

  2. Klik kanan file sertifikat .CER, lalu pilih Pasang Sertifikat.

  3. Dalam Wizard Impor Sertifikat, pilih untuk menyimpan sertifikat di komputer lokal, lalu pilih Berikutnya:

    Choose the option to import the certificate into the local machine store

  4. Ketika diminta, pilih Ya untuk mengizinkan komputer melakukan perubahan.

  5. Pilih Memilih penyimpanan sertifikat secara otomatis berdasarkan tipe sertifikat, lalu pilih Berikutnya.

  6. Pada halaman tinjau, pilih Selesai untuk mengimpor sertifikat .CER. Dialog konfirmasi ditampilkan ketika sertifikat telah berhasil diimpor.

Mengaktifkan LDAP aman untuk Microsoft Entra Domain Services

Dengan sertifikat digital yang dibuat dan diekspor yang menyertakan kunci pribadi, dan komputer klien diatur untuk mempercayai koneksi, sekarang aktifkan LDAP aman pada domain terkelola Anda. Untuk mengaktifkan LDAP aman pada domain terkelola, lakukan langkah-langkah konfigurasi berikut:

  1. Di pusat admin Microsoft Entra, masukkan layanan domain di kotak Cari sumber daya. Pilih Microsoft Entra Domain Services dari hasil pencarian.

  2. Pilih domain terkelola Anda, seperti aaddscontoso.com.

  3. Di sisi kiri jendela Microsoft Entra Domain Services, pilih LDAP Aman.

  4. Secara default, akses LDAP aman ke domain terkelola Anda akan dinonaktifkan. Hidupkan LDAP Aman untuk Mengaktifkan.

  5. Akses LDAP aman ke domain terkelola Anda melalui internet dinonaktifkan secara default. Ketika Anda mengaktifkan akses LDAP aman publik, domain Anda rentan terhadap serangan brute force kata sandi melalui internet. Pada langkah berikutnya, grup keamanan jaringan dikonfigurasi untuk mengunci akses hanya ke rentang alamat IP sumber yang diperlukan.

    Hidupkan Izinkan akses LDAP aman melalui internet untuk Mengaktifkan.

  6. Pilih ikon folder di samping file .PFX dengan sertifikat LDAP aman. Telusuri ke jalur file .PFX, lalu pilih sertifikat yang dibuat pada langkah sebelumnya yang menyertakan kunci pribadi.

    Penting

    Seperti yang tertuang di bagian sebelumnya tentang persyaratan sertifikat, Anda tidak dapat menggunakan sertifikat dari OS publik dengan domain .onmicrosoft.com default. Microsoft memiliki domain .onmicrosoft.com, sehingga OS publik tidak akan menerbitkan sertifikat.

    Pastikan sertifikat Anda dalam format yang sesuai. Jika tidak, platform Azure akan mengalami kesalahan validasi sertifikat saat Anda mengaktifkan LDAP aman.

  7. Masukkan Kata Sandi untuk mendekripsi file .PFX yang diatur dalam langkah sebelumnya ketika sertifikat diekspor ke file .PFX.

  8. Pilih Simpan untuk mengaktifkan LDAP aman.

    Enable secure LDAP for a managed domain in the Microsoft Entra admin center

Pemberitahuan menunjukkan bahwa LDAP aman sedang dikonfigurasi untuk domain terkelola. Anda tidak bisa mengubah setelan lain untuk domain terkelola hingga operasi ini selesai.

Diperlukan beberapa menit untuk mengaktifkan LDAP aman untuk domain terkelola Anda. Jika sertifikat LDAP aman yang Anda berikan tidak cocok dengan kriteria yang diperlukan, tindakan untuk mengaktifkan LDAP aman untuk domain terkelola gagal.

Beberapa alasan umum kegagalan adalah jika nama domain salah, algoritma enkripsi untuk sertifikat bukan TripleDES-SHA1, atau sertifikat akan segera kedaluwarsa atau telah kedaluwarsa. Anda dapat membuat ulang sertifikat dengan parameter yang valid, lalu mengaktifkan LDAP aman menggunakan sertifikat yang diperbarui ini.

Mengubah sertifikat yang kedaluwarsa

  1. Buat sertifikat LDAP aman pengganti dengan mengikuti langkah-langkah membuat sertifikat untuk LDAP aman.
  2. Untuk menerapkan sertifikat pengganti ke Layanan Domain, di menu sebelah kiri untuk Microsoft Entra Domain Services di pusat admin Microsoft Entra, pilih LDAP Aman, lalu pilih Ubah Sertifikat.
  3. Distribusikan sertifikat ke klien mana pun yang terhubung dengan menggunakan LDAP aman.

Mengunci akses LDAP aman melalui internet

Saat Anda mengaktifkan akses LDAP aman melalui internet ke domain terkelola Anda, hal ini dapat menimbulkan ancaman keamanan. Domain terkelola dapat dijangkau dari internet pada port TCP 636. Disarankan untuk membatasi akses ke domain terkelola ke alamat IP tertentu yang diketahui untuk lingkungan Anda. Aturan grup keamanan jaringan Azure dapat digunakan untuk membatasi akses ke LDAP aman.

Mari kita buat aturan untuk memungkinkan akses LDAP aman masuk melalui port TCP 636 dari sekumpulan alamat IP tertentu saja. Aturan default DenyAll dengan prioritas lebih rendah berlaku untuk semua lalu lintas masuk lainnya dari internet, sehingga hanya alamat yang ditentukan yang dapat menjangkau domain terkelola Anda menggunakan LDAP aman.

  1. Di pusat admin Microsoft Entra, cari dan pilih Grup sumber daya.

  2. Pilih grup sumber daya Anda, seperti myResourceGroup, lalu pilih grup keamanan jaringan Anda, seperti aaads-nsg.

  3. Daftar aturan keamanan masuk dan keluar yang ada ditampilkan. Di sisi kiri jendela kelompok keamanan jaringan, pilih Pengaturan > Aturan keamanan masuk.

  4. Pilih Tambahkan, lalu buat aturan untuk memperbolehkan port TCP636. Untuk keamanan yang ditingkatkan, pilih sumber sebagai Alamat IP lalu tentukan alamat atau rentang IP Anda sendiri yang valid untuk organisasi Anda.

    Pengaturan Nilai
    Sumber Alamat IP
    Alamat IP sumber / rentang CIDR Alamat atau rentang IP yang valid untuk lingkungan Anda
    Source port ranges *
    Tujuan Mana pun
    Rentang port tujuan 636
    Protokol TCP
    Tindakan Izinkan
    Prioritas 401
    Nama AllowLDAPS

  5. Saat siap, pilih Tambahkan untuk menyimpan dan menerapkan aturan.

    Create a network security group rule to secure LDAPS access over the internet

Mengkonfigurasi zona DNS untuk akses eksternal

Dengan akses LDAP aman diaktifkan melalui internet, perbarui zona DNS sehingga komputer klien dapat menemukan domain terkelola ini. Alamat IP eksternal LDAP Aman tercantum pada tab Properti untuk domain terkelola Anda:

View the secure LDAP external IP address for your managed domain in the Microsoft Entra admin center

Konfigurasikan penyedia DNS eksternal Anda untuk membuat catatan host, seperti ldaps, untuk mengatasi alamat IP eksternal ini. Untuk menguji secara lokal pada komputer Anda terlebih dahulu, Anda dapat membuat entri dalam file host Windows. Agar berhasil mengedit file host di komputer lokal Anda, buka Notepad sebagai administrator, lalu buka file C:\Windows\System32\drivers\etc\hosts.

Contoh entri DNS berikut, baik dengan penyedia DNS eksternal Anda atau di file host lokal, menyelesaikan lalu lintas ke ldaps.aaddscontoso.com alamat 168.62.205.103IP eksternal :

168.62.205.103    ldaps.aaddscontoso.com

Menguji kueri ke domain terkelola

Untuk menyambungkan dan mengikat ke domain terkelola Anda dan mencari melalui LDAP, Anda dapat menggunakan alat LDP.exe. Alat ini termasuk dalam paket Alat Administrasi Server Jarak Jauh (RSAT). Untuk informasi selengkapnya, lihat memasang Alat Administrasi Server Jarak Jauh.

  1. Buka LDP.exe dan sambungkan ke domain terkelola. Pilih Koneksi, lalu pilih Sambungkan....
  2. Masukkan nama domain DNS LDAP aman dari domain terkelola Anda yang dibuat di langkah sebelumnya, seperti ldaps.aaddscontoso.com. Untuk menggunakan LDAP aman, atur Port ke 636, lalu centang kotak SSL.
  3. Pilih OK untuk menyambungkan ke domain terkelola.

Selanjutnya, ikat ke domain terkelola Anda. Pengguna (dan akun layanan) tidak dapat melakukan ikatan sederhana LDAP jika Anda telah menonaktifkan sinkronisasi hash kata sandi NTLM pada domain terkelola Anda. Untuk informasi selengkapnya tentang menonaktifkan sinkronisasi hash kata sandi NTLM, lihat Mengamankan domain terkelola Anda.

  1. Pilih opsi menu Koneksi, lalu pilih Ikat....
  2. Berikan kredensial akun pengguna milik domain terkelola. Masukkan kata sandi akun pengguna, lalu masukkan domain Anda, seperti aaddscontoso.com.
  3. Untuk Jenis ikatan, pilih opsi Mengikat dengan kredensial.
  4. Pilih OK untuk mengikat ke domain terkelola Anda.

Untuk melihat objek yang disimpan di domain terkelola Anda:

  1. Pilih opsi menu Tampilan, lalu pilih Pohon.

  2. Biarkan bidang BaseDN kosong, lalu pilih OK.

  3. Pilih kontainer, seperti Pengguna AADDC, lalu klik kanan kontainer dan pilih Cari.

  4. Tinggalkan kumpulan bidang yang telah diisi sebelumnya, lalu pilih Jalankan. Hasil kueri ditampilkan di jendela sebelah kanan, seperti yang diperlihatkan dalam contoh output berikut:

    Search for objects in your managed domain using LDP.exe

Untuk mengkueri kontainer tertentu secara langsung, dari menu Tampilkan > Pohon, Anda dapat menentukan BaseDN seperti OU=AADDC Users,DC=AADDSCONTOSO,DC=COM atau OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Untuk informasi selengkapnya tentang cara memformat dan membuat kueri, lihat Dasar-dasar kueri LDAP.

Catatan

Jika sertifikat yang ditandatangani sendiri digunakan, pastikan sertifikat yang ditandatangani sendiri tersebut ditambahkan ke Otoritas Sertifikasi Akar Tepercaya untuk LDAPS guna bekerja dengan LDP.exe

Membersihkan sumber daya

Jika Anda menambahkan entri DNS ke file host lokal komputer Anda untuk menguji konektivitas untuk tutorial ini, hapus entri ini dan tambahkan catatan formal di zona DNS Anda. Untuk menghapus entri dari file host lokal, selesaikan langkah-langkah berikut:

  1. Di mesin lokal Anda, buka Notepad sebagai administrator
  2. Telusuri dan buka file C:\Windows\System32\drivers\etc\hosts.
  3. Menghapus baris rekaman yang Anda tambahkan, seperti 168.62.205.103 ldaps.aaddscontoso.com

Pemecahan Masalah

Jika Anda mendapatkan tanda kesalahan yang menyatakan bahwa LDAP.exe tidak dapat terhubung, coba lakukan beberapah hal berikut untuk mendapatkan koneksi:

  1. Mengkonfigurasi pengendali domain
  2. Mengkonfigurasi klien
  3. Jaringan
  4. Membuat sesi TLS

Untuk kecocokan nama subjek sertifikat, DC akan menggunakan nama domain Domain Services (bukan nama domain Microsoft Entra) untuk mencari penyimpanan sertifikatnya untuk sertifikat. Kesalahan ejaan, misalnya, membuat DC tidak dapat menemukan sertifikat yang dicari.

Klien mencoba membuat koneksi TLS menggunakan nama yang Anda berikan. Lalu lintas harus melewati semua jalan. DC mengirimkan kunci publik dari sertifikat otentikasi server. Sertifikat harus memiliki penggunaan yang tepat dalam sertifikat, nama yang ditandatangani di nama subjek harus kompatibel agar klien dapat mempercayai bahwa server adalah nama DNS yang Anda sambungkan (wildcard akan berfungsi, dengan tidak ada kesalahan ejaan), dan klien harus mempercayai penerbit sertifikat. Anda dapat memeriksa masalah apa pun dalam rantai tersebut di log sistem Pemantau Peristiwa, dan memfilter peristiwa di mana sumber sama dengan Schannel. Setelah bagian-bagian tersebut siap, mereka akan membentuk kunci sesi.

Untuk informasi selengkapnya, lihat TLS Handshake.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara:

  • Membuat sertifikat digital untuk digunakan dengan Microsoft Entra Domain Services
  • Mengaktifkan LDAP aman untuk Microsoft Entra Domain Services
  • Mengkonfigurasi LDAP aman untuk digunakan melalui internet publik
  • Mengikat dan menguji LDAP aman untuk domain terkelola

Mengonfigurasi sinkronisasi hash kata sandi untuk lingkungan Microsoft Entra hibrid