Masalah yang diketahui: Mengamankan pemberitahuan LDAP di Microsoft Entra Domain Services
Aplikasi dan layanan yang menggunakan protokol akses direktori ringan (LDAP) untuk berkomunikasi dengan Microsoft Entra Domain Services dapat dikonfigurasi untuk menggunakan LDAP yang aman. Sertifikat yang sesuai dan port jaringan yang diperlukan harus terbuka agar LDAP aman bekerja dengan benar.
Artikel ini membantu Anda memahami dan menyelesaikan pemberitahuan umum dengan akses LDAP yang aman di Layanan Domain.
AADDS101: Konfigurasi jaringan LDAP aman
Pesan pemberitahuan
Secure LDAP melalui internet diaktifkan untuk domain terkelola. Namun, akses ke port 636 tidak dikunci menggunakan grup keamanan jaringan. Ini dapat mengekspos akun pengguna pada domain terkelola untuk melakukan serangan brute-force kata sandi.
Resolusi
Saat Anda mengaktifkan LDAP aman, disarankan untuk membuat aturan tambahan yang membatasi akses LDAPS masuk ke alamat IP tertentu. Aturan ini melindungi domain yang dikelola dari serangan upaya paksa. Untuk memperbarui grup keamanan jaringan untuk membatasi akses port TCP 636 untuk LDAP aman, selesaikan langkah-langkah berikut:
- Di pusat admin Microsoft Entra, cari dan pilih Grup keamanan jaringan.
- Pilih grup keamanan jaringan yang terkait dengan domain terkelola Anda, seperti AADDS-contoso.com-NSG, lalu pilih Aturan keamanan masuk
- Pilih + Tambahkan untuk membuat sebuah aturan untuk port TCP 636. Jika diperlukan, pilih Tingkat lanjut di jendela untuk membuat sebuah aturan.
- Untuk Sumber, pilih Alamat IP dari menu drop-down. Masukkan alamat IP sumber yang ingin Anda berikan aksesnya untuk lalu lintas LDAP aman.
- Pilih Apa pun sebagai Tujuan, lalu masukkan 636 untuk Rentang port tujuan.
- Atur Protokol sebagai TCP dan Tindakan untuk Mengizinkan.
- Tentukan prioritas untuk aturannya, lalu masukkan sebuah nama seperti RestrictLDAPS.
- Bila sudah siap, pilih Tambahkan untuk membuat aturan.
Kesehatan domain terkelola secara otomatis memperbarui dirinya sendiri dalam waktu dua jam dan menghapus pemberitahuan.
Tip
Port TCP 636 bukan satu-satunya aturan yang diperlukan agar Layanan Domain berjalan dengan lancar. Untuk mempelajari lebih lanjut , lihat grup keamanan Jaringan Layanan Domain dan port yang diperlukan.
AADDS502: Sertifikat LDAP aman yang kedaluwarsa
Pesan pemberitahuan
Sertifikat LDAP aman untuk domain yang dikelola akan kedaluwarsa pada [tanggal]].
Resolusi
Buat sertifikat LDAP aman pengganti dengan mengikuti langkah-langkah membuat sertifikat untuk LDAP aman. Terapkan sertifikat pengganti ke Layanan Domain, dan distribusikan sertifikat ke klien apa pun yang terhubung menggunakan LDAP aman.
Langkah berikutnya
Jika Anda masih mengalami masalah, buka permintaan dukungan Azure untuk bantuan pemecahan masalah lainnya.