ライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用して Microsoft Entra Domain Services と通信するアプリケーションおよびサービスは、Secure LDAP を使用するように構成できます。 Secure LDAP が正しく機能するためには、適切な証明書と必要なネットワーク ポートが開いている必要があります。
この記事は、Microsoft Entra Domain Services での Secure LDAP アクセスに関する問題のトラブルシューティングに役立ちます。
一般的な接続に関する問題
Secure LDAP を使用した Microsoft Entra Domain Services マネージド ドメインへの接続で問題がある場合は、次のトラブルシューティングの手順を確認してください。 トラブルシューティングの各手順を実行した後、マネージド ドメインに再度接続を試みてください。
- Secure LDAP 証明書の発行者チェーンは、クライアントで信頼されている必要があります。 信頼を確立するために、クライアント上の信頼されたルート証明書ストアにルート証明機関 (CA) を追加できます。
- マネージド ドメインの Secure LDAP 証明書の Subject (サブジェクト) 属性または Subject Alternative Names (サブジェクトの別名) 属性に、DNS 名が含まれていることを確認します。
- Secure LDAP 証明書の要件を確認し、必要に応じて代替証明書を作成します。
- LDAP クライアント (ldp.exe など) が、IP アドレスではなく、DNS 名を使用して Secure LDAP エンドポイントに接続していることを確認します。
- マネージド ドメインに適用される証明書には、サービスの IP アドレスは含まれず、DNS 名のみが含まれます。
- LDAP クライアントの接続先の DNS 名を確認します。 この DNS 名は、マネージド ドメイン上の Secure LDAP に対するパブリック IP アドレスに解決される必要があります。
- DNS 名が内部 IP アドレスに解決される場合は、外部 IP アドレスに解決されるように DNS レコードを更新します。
- 外部接続の場合、ネットワーク セキュリティ グループに、インターネットから TCP ポート 636 へのトラフィックを許可する規則が含まれている必要があります。
- 仮想ネットワークに直接接続するリソースから Secure LDAP を使用して マネージド ドメインには接続できるが、外部接続ができない場合は、Secure LDAP トラフィックを許可するネットワーク セキュリティ グループ規則を作成してください。
次のステップ
まだ問題が解決しない場合は、さらなるトラブルシューティングの支援を求めて、Azure サポート リクエストを開いてください。