Zelfstudie: Secure LDAP configureren voor een door Microsoft Entra Domain Services beheerd domein

Als u met een door Microsoft Entra Domain Services beheerd domein wilt communiceren, wordt LDAP (Lightweight Directory Access Protocol) gebruikt. Het LDAP-verkeer wordt standaard niet versleuteld, hetgeen een beveiligingsprobleem vormt voor veel omgevingen.

U kunt met Microsoft Entra Domain Services het beheerde domein zo configureren dat deze Secure Lightweight Directory Access Protocol (LDAPS) gebruikt. Wanneer u Secure LDAP gebruikt, wordt het verkeer versleuteld. Secure LDAP is ook wel bekend als LDAP via Secure Sockets Layer (SSL)/Transport Layer Security (TLS).

In deze zelfstudie leert u hoe u LDAPS configureert voor een beheerd domein van Domain Services.

In deze zelfstudie leert u het volgende:

• Een digitaal certificaat maken voor gebruik met Microsoft Entra Domain Services
• Secure LDAP inschakelen voor Microsoft Entra Domain Services
• Secure LDAP configureren zodat dit via openbaar internet kan worden gebruikt
• Secure LDAP binden en testen voor een beheerd domein

Als u geen Azure-abonnement hebt, maakt u een account voordat u begint.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

• Een actief Azure-abonnement.
  • Als u nog geen Azure-abonnement hebt, maakt u een account.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
  • Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Maak en configureer zo nodig een door Microsoft Entra Domain Services beheerd domein.
• Het hulpprogramma LDP.exe dat op uw computer moet zijn geïnstalleerd.
  • Installeer zo nodig de Remote Server Administration Tools (RSAT) voor Active Directory Domain Services en LDAP.
• U hebt toepassings-Beheer istrator en groepen nodig Beheer istrator Microsoft Entra-rollen in uw tenant om Secure LDAP in te schakelen.

Meld u aan bij het Microsoft Entra-beheercentrum

In deze zelfstudie configureert u Secure LDAP voor het beheerde domein met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrum om aan de slag te gaan.

Een certificaat maken voor Secure LDAP

Als u Secure LDAP wilt gebruiken, wordt er een digitaal certificaat gebruikt om de communicatie te versleutelen. Dit digitale certificaat wordt toegepast op uw beheerde domein en staat hulpprogramma's als LDP.exe toe om beveiligde versleutelde communicatie te gebruiken bij het opvragen van gegevens. Er zijn twee manieren om een certificaat voor Secure LDAP-toegang tot het beheerde domein te maken:

• Een certificaat van een openbare certificeringsinstantie (CA) of een certificeringsinstantie voor ondernemingen.
  • Als uw organisatie certificaten van een openbare certificeringsinstantie krijgt, haalt u het Secure LDAP-certificaat van die openbare certificeringsinstantie op. Als u een certificeringsinstantie voor ondernemingen in uw organisatie gebruikt, haalt u het Secure LDAP-certificaat van de certificeringsinstantie voor ondernemingen op.
  • Een openbare certificeringsinstantie werkt alleen wanneer u een aangepaste DNS-naam gebruikt met uw beheerde domein. Als de DNS-domeinnaam van uw beheerde domein eindigt op .onmicrosoft.com, kunt u geen digitaal certificaat maken om de verbinding met dit standaarddomein te beveiligen. Microsoft is eigenaar van het domein .onmicrosoft.com, dus een openbare certificeringsinstantie zal geen certificaat uitgeven. In dit scenario maakt u een zelfondertekend certificaat en gebruikt u dat voor het configureren van Secure LDAP.
• Een zelfondertekend certificaat dat u zelf maakt.
  • Deze methode is geschikt voor testdoeleinden en wordt in deze zelfstudie beschreven.

Het certificaat dat u wilt aanvragen of maken, moet voldoen aan de volgende vereisten. Het beheerde domein ondervindt problemen als u Secure LDAP inschakelt met een ongeldig certificaat:

• Vertrouwde uitgever: het certificaat moet worden uitgegeven door een instantie die wordt vertrouwd door computers die verbinding maken met het beheerde domein met behulp van Secure LDAP. Deze instantie kan een openbare certificeringsinstantie of een certificeringsinstantie voor ondernemingen zijn die door deze computers wordt vertrouwd.
• Levensduur: het certificaat moet ten minste de volgende 3-6 maanden geldig zijn. Secure LDAP-toegang tot uw beheerde domein wordt onderbroken wanneer het certificaat is verlopen.
• Onderwerpnaam: de onderwerpnaam op het certificaat moet uw beheerde domein zijn. Als de naam van uw domein bijvoorbeeld aaddscontoso.com is, moet de onderwerpnaam van het certificaat *.aaddscontoso.com zijn.
  • De DNS-naam of alternatieve naam van het onderwerp van het certificaat moet een jokertekencertificaat zijn om ervoor te zorgen dat secure LDAP goed werkt met Domain Services. Domeincontrollers gebruiken willekeurige namen en kunnen worden verwijderd of toegevoegd om ervoor te zorgen dat de service beschikbaar blijft.
• Sleutelgebruik: het certificaat moet zijn geconfigureerd voor digitale handtekeningen en sleutelcodering.
• Certificaatdoeleinde: het certificaat moet geldig zijn voor TLS-serververificatie.

U kunt verschillende hulpprogramma's gebruiken voor het maken van een zelfondertekend certificaat, zoals OpenSSL, Keytool, MakeCert, de New-SelfSignedCertificate-cmdlet, enzovoort.

In deze zelfstudie maakt u een zelfondertekend certificaat voor Secure LDAP met de New-SelfSignedCertificate-cmdlet.

Open een PowerShell-venster als beheerder en voer de volgende opdrachten uit. Vervang de variabele $dnsName door de DNS-naam die wordt gebruikt door uw eigen beheerde domein, zoals aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

In het volgende uitvoervoorbeeld ziet u dat het certificaat is gegenereerd en is opgeslagen in het lokale certificaatarchief (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Weten wat de vereiste certificaten zijn en deze exporteren

Om Secure LDAP te gebruiken, wordt het netwerkverkeer versleuteld met behulp van Public Key Infrastructure (PKI).

• Er wordt een persoonlijke sleutel toegepast op het beheerde domein.
  • Deze persoonlijke sleutel wordt gebruikt om het Secure LDAP-verkeer te ontsleutelen. De persoonlijke sleutel moet alleen worden toegepast op het beheerde domein en niet wijdverbreid over clientcomputers worden gedistribueerd.
  • Een certificaat dat de persoonlijke sleutel bevat, heeft de bestandsindeling .pfx.
  • Bij het exporteren van het certificaat moet u het versleutelingsalgoritme TripleDES-SHA1 opgeven. Dit is alleen van toepassing op het PFX-bestand en heeft geen invloed op het algoritme dat door het certificaat zelf wordt gebruikt. Houd er rekening mee dat de optie TripleDES-SHA1 alleen beschikbaar is vanaf Windows Server 2016.
• Een openbare sleutel wordt toegepast op de clientcomputers.
  • Deze openbare sleutel wordt gebruikt om het beveiligde LDAP-verkeer te versleutelen. De openbare sleutel kan worden gedistribueerd naar clientcomputers.
  • Certificaten zonder de persoonlijke sleutel hebben de bestandsindeling .cer.

Deze twee sleutels, de persoonlijke en de openbare sleutel, zorgen ervoor dat alleen de juiste computers met elkaar kunnen communiceren. Als u een openbare certificeringsinstantie of een certificeringsinstantie voor ondernemingen gebruikt, wordt er aan u een certificaat verleend dat de persoonlijke sleutel bevat en dat kan worden toegepast op een beheerd domein. De openbare sleutel moet al bekend zijn en worden vertrouwd door clientcomputers.

In deze zelfstudie hebt u een zelfondertekend certificaat gemaakt met de persoonlijke sleutel, dus u moet de betreffende persoonlijke en openbare onderdelen exporteren.

Een certificaat exporteren voor Microsoft Entra Domain Services

Voordat u het digitale certificaat dat u hebt gemaakt in de vorige stap kunt gebruiken met uw beheerde domein, exporteert u het certificaat naar een PFX-certificaatbestand dat de persoonlijke sleutel bevat.

1. Als u het dialoogvenster Uitvoeren wilt openen, selecteert u de toetsen Windows + R.

2. Open Microsoft Management Console (MMC) door mmc in te voeren in het dialoogvenster Uitvoeren en selecteer vervolgens OK.

3. Selecteer in de Gebruikersaccountbeheer-prompt Ja om MMC als beheerder te starten.

4. Selecteer in het menu Bestand de optie Module toevoegen/verwijderen....

5. Kies in de wizard De module Certificaten de optie Computeraccount en selecteer vervolgens Volgende.

6. Kies op de pagina Computer selecteren de optie Lokale computer: (de computer waarop deze console wordt uitgevoerd) en selecteer vervolgens Voltooien.

7. Selecteer OK in het dialoogvenster Modules toevoegen of verwijderen om de module Certificaten aan MMC toe te voegen.

8. Vouw Consolebasis uit in het MMC-venster. Selecteer Certificaten (lokale computer) en vouw vervolgens het knooppunt Persoonlijk uit, gevolgd door het knooppunt Certificaten.

   

9. Het zelfondertekende certificaat dat u hebt gemaakt in de vorige stap, bijvoorbeeld aaddscontoso.com, wordt weergegeven. Selecteer met de rechtermuisknop dit certificaat en kies Vervolgens Alle taken > exporteren...

   

10. Selecteer Volgende in de wizard Certificaat exporteren.

11. De persoonlijke sleutel voor het certificaat moet worden geëxporteerd. Als de persoonlijke sleutel niet is opgenomen in het geëxporteerde certificaat, wordt Secure LDAP niet ingeschakeld voor uw beheerde domein.

    Kies op de pagina Persoonlijke sleutel exporteren de optie Ja, exporteer de persoonlijke sleutel en klik op Volgende.

12. Beheerde domeinen bieden alleen ondersteuning voor certificaten met de bestandsindeling .pfx die de persoonlijke sleutel bevatten. Exporteer het certificaat niet als een certificaat met de bestandsindeling .cer zonder de persoonlijke sleutel.

    Selecteer op de pagina Bestandsindeling voor export de optie Personal Information Exchange - PKCS #12 (.pfx) als de bestandsindeling voor het geëxporteerde certificaat. Schakel het selectievakje voor Indien mogelijk alle certificaten in het certificeringspad opnemen in:

    

13. Omdat dit certificaat wordt gebruikt om gegevens te ontsleutelen, moet u de toegang zorgvuldig regelen. U kunt een wachtwoord toepassen om het gebruik van het certificaat te beveiligen. Zonder het juiste wachtwoord kan het certificaat niet worden toegepast op een service.

    Kies op de pagina Beveiliging de optie voor Wachtwoord om het PFX-certificaatbestand te beveiligen. Het versleutelingsalgoritme moet TripleDES-SHA1 zijn. Voer een wachtwoord in en bevestig dit. Selecteer vervolgens Volgende. Dit wachtwoord wordt in de volgende sectie gebruikt om Secure LDAP in te schakelen voor uw beheerde domein.

    Als u exporteert met behulp van de cmdlet PowerShell export-pfxcertificate, moet u de vlag -CryptoAlgorithmOption doorgeven met behulp van TripleDES_SHA1.

    

14. Geef op de pagina Bestand om te exporteren de bestandsnaam en locatie op waar u het certificaat wilt exporteren, zoals C:\Users\<account-name>\azure-ad-ds.pfx. Noteer het wachtwoord en de locatie van het PFX-bestand omdat u deze informatie in de volgende stappen nodig hebt.

15. Selecteer Voltooien op de controlepagina om het certificaat naar een PFX-certificaatbestand te exporteren. Er wordt een dialoogvenster voor bevestiging weergegeven wanneer het certificaat is geëxporteerd.

16. Laat MMC geopend voor gebruik in de volgende sectie.

Een certificaat voor clientcomputers exporteren

Clientcomputers moeten de uitgever van het Secure LDAP-certificaat vertrouwen om met behulp van LDAPS verbinding te kunnen maken met het beheerde domein. De clientcomputers hebben een certificaat nodig om gegevens te versleutelen die worden ontsleuteld door Domain Services. Als u een openbare certificeringsinstantie gebruikt, moet de computer deze certificaatverleners automatisch vertrouwen en over een overeenkomstig certificaat beschikken.

In deze zelfstudie gebruikt u een zelfondertekend certificaat en hebt u in de vorige stap een certificaat gegenereerd dat de persoonlijke sleutel bevat. We gaan nu het zelfondertekende certificaat exporteren en installeren in het vertrouwde certificaatarchief op de clientcomputer:

1. Ga terug naar het mmc voor certificaten (lokale computer) > persoonlijke > certificatenarchief . Het zelfondertekende certificaat dat u in een vorige stap hebt gemaakt, bijvoorbeeld aaddscontoso.com, wordt weergegeven. Selecteer met de rechtermuisknop dit certificaat en kies Vervolgens Alle taken > exporteren...

2. Selecteer Volgende in de wizard Certificaat exporteren.

3. Omdat u de persoonlijke sleutel voor clients niet nodig hebt, kiest u op de pagina Persoonlijke sleutel exporteren de optie Nee, de persoonlijke sleutel niet exporteren en selecteert u vervolgens Volgende.

4. Selecteer op de pagina Bestandsindeling voor export de optie Base-64 encoded X.509 (.cer) als de bestandsindeling voor het geëxporteerde certificaat:

   

5. Geef op de pagina Bestand om te exporteren de bestandsnaam en locatie op waar u het certificaat wilt exporteren, zoals C:\Users\<account-name>\azure-ad-ds-client.cer.

6. Selecteer Voltooien op de controlepagina om het certificaat naar een CER-certificaatbestand te exporteren. Er wordt een dialoogvenster voor bevestiging weergegeven wanneer het certificaat is geëxporteerd.

Het .CER-certificaatbestand kan nu worden gedistribueerd naar clientcomputers die de Secure LDAP-verbinding met het beheerde domein moeten vertrouwen. We gaan het certificaat nu op een lokale computer installeren.

1. Open Bestandenverkenner en blader naar de locatie waar u de map hebt opgeslagen. CER-certificaatbestand, zoals C:\Users\<account-name>\azure-ad-ds-client.cer.

2. Selecteer met de rechtermuisknop het CER-certificaatbestand en kies Certificaat installeren.

3. Kies er in de wizard Certificaat importeren voor om het certificaat op te slaan op de lokale computer en selecteer vervolgens Volgende:

   

4. Wanneer u hierom wordt gevraagd, kiest u Ja, zodat de computer wijzigingen kan aanbrengen.

5. Kies Automatisch het certificaatarchief selecteren op basis van het type certificaat en selecteer vervolgens Volgende.

6. Selecteer Voltooien op de controlepagina om het .CER-certificaatbestand te importeren. Er wordt een dialoogvenster voor bevestiging weergegeven wanneer het certificaat is geïmporteerd.

Secure LDAP inschakelen voor Microsoft Entra Domain Services

Nu er een digitaal certificaat is gemaakt en geëxporteerd dat de persoonlijke sleutel bevat en de clientcomputer is ingesteld om de verbinding te vertrouwen, schakelt u nu in uw beheerde domein Secure LDAP in. Als u Secure LDAP wilt inschakelen in een beheerd domein, voert u de volgende configuratiestappen uit:

1. Voer in het Microsoft Entra-beheercentrum domeinservices in het vak Resources zoeken in. Selecteer Microsoft Entra Domain Services in het zoekresultaat.

2. Kies uw beheerde domein, bijvoorbeeld aaddscontoso.com.

3. Kies Secure LDAP aan de linkerkant van het venster Microsoft Entra Domain Services.

4. De Secure LDAP-toegang tot uw beheerde domein is standaard uitgeschakeld. Gebruik de schakeloptie voor Secure LDAP om dit in te schakelen.

5. De Secure LDAP-toegang tot uw beheerde domein via internet is standaard uitgeschakeld. Wanneer u openbare Secure LDAP-toegang inschakelt, is uw domein kwetsbaar voor beveiligingsaanvallen op wachtwoorden via internet. In de volgende stap wordt een netwerkbeveiligingsgroep geconfigureerd om de toegang tot uitsluitend de vereiste bron-IP-adresbereiken te beperken.

   Gebruik de schakeloptie voor Secure LDAP-toegang via internet toestaan om dit in te schakelen.

6. Selecteer het mappictogram naast PFX-bestand met Secure LDAP-certificaat. Blader naar het pad van het PFX-bestand en selecteer vervolgens het certificaat dat u in een vorige stap hebt gemaakt en dat de persoonlijke sleutel bevat.

   Belangrijk

   Zoals al in de vorige sectie over certificaatvereisten werd vermeld, kunt u geen certificaat van een openbare certificeringsinstantie gebruiken met het standaarddomein .onmicrosoft.com. Microsoft is eigenaar van het domein .onmicrosoft.com, dus een openbare certificeringsinstantie zal geen certificaat uitgeven.

   Zorg ervoor dat uw certificaat de juiste indeling heeft. Als dat niet het geval is, genereert het Azure-platform certificaatvalidatiefouten wanneer u Secure LDAP inschakelt.

7. Voer het wachtwoord voor het ontsleutelen van het PFX-bestand in dat in een vorige stap is ingesteld toen het certificaat naar een PFX-bestand werd geëxporteerd.

8. Selecteer Opslaan om Secure LDAP in te schakelen.

   

Er wordt een melding weergegeven dat Secure LDAP wordt geconfigureerd voor het beheerde domein. U kunt geen andere instellingen voor het beheerde domein wijzigen totdat deze bewerking is voltooid.

Het duurt enkele minuten om Secure LDAP in te schakelen voor uw beheerde domein. Als het Secure LDAP-certificaat dat u opgeeft niet voldoet aan de vereiste criteria, kunt u Secure LDAP niet inschakelen voor het beheerde domein.

Enkele veelvoorkomende redenen hiervoor zijn een onjuiste domeinnaam, het versleutelingsalgoritme voor het certificaat is niet ingesteld op TripleDES-SHA1 of het certificaat verloopt binnenkort of is al verlopen. U kunt het certificaat opnieuw maken met geldige parameters en vervolgens Secure LDAP inschakelen met dit bijgewerkte certificaat.

Een verlopend certificaat wijzigen

1. Maak een vervangend Secure LDAP-certificaat door de stappen te volgen om een certificaat voor Secure LDAP te maken.
2. Als u het vervangende certificaat wilt toepassen op Domain Services, selecteert u Secure LDAP in het linkermenu voor Microsoft Entra Domain Services in het Microsoft Entra-beheercentrum en selecteert u Certificaat wijzigen.
3. Distribueer het certificaat naar clients die verbinding maken met behulp van Secure LDAP.

Secure LDAP-toegang via internet beperken

Wanneer u Secure LDAP-toegang via internet tot uw beheerde domein inschakelt, zorgt dit voor een beveiligingsrisico. Het beheerde domein is vanaf internet bereikbaar op TCP-poort 636. U kunt het beste de toegang tot het beheerde domein beperken tot bepaalde bekende IP-adressen voor uw omgeving. U kunt een Azure-netwerkbeveiligingsgroepregel gebruiken om de toegang tot Secure LDAP te beperken.

We gaan een regel maken om inkomend verkeer voor Secure LDAP-toegang via TCP-poort 636 vanaf een opgegeven reeks IP-adressen toe te staan. Een standaardregel DenyAll met een lagere prioriteit is van toepassing op al het andere inkomende verkeer vanaf internet, zodat alleen de opgegeven adressen uw beheerde domein kunnen bereiken met behulp van Secure LDAP.

1. Zoek en selecteer resourcegroepen in het Microsoft Entra-beheercentrum.

2. Kies uw resourcegroep, bijvoorbeeld myResourceGroup en selecteer vervolgens uw netwerkbeveiligingsgroep, bijvoorbeeld aaads-nsg.

3. De lijst met bestaande beveiligingsregels voor inkomend en uitgaand verkeer worden weergegeven. Kies aan de linkerkant van het venster netwerkbeveiligingsgroep Instellingen > Binnenkomende beveiligingsregels.

4. Selecteer Toevoegen en maak vervolgens een regel om TCP-poort 636 toe te staan. Voor een betere beveiliging kiest u IP-adressen als de bron en geeft u vervolgens uw eigen geldige IP-adres of -bereik voor uw organisatie op.

   Instelling	Weergegeven als
   Source	IP-adressen
   IP-adressen/CIDR-bereiken van bron	Een geldig IP-adres of -bereik voor uw omgeving
   Poortbereiken van bron	*
   Doel	Alle
   Poortbereiken van doel	636
   Protocol	TCP
   Actie	Toestaan
   Prioriteit	401
   Naam	AllowLDAPS

5. Wanneer u klaar bent, selecteert u Toevoegen om de regel op te slaan en toe te passen.

   

DNS-zone voor externe toegang configureren

Wanneer Secure LDAP-toegang via internet is ingeschakeld, werkt u de DNS-zone bij zodat clientcomputers dit beheerde domein kunnen vinden. Het externe IP-adres voor Secure LDAP wordt vermeld op het tabblad Eigenschappen voor uw beheerde domein:

Configureer uw externe DNS-provider voor het maken van een hostrecord, bijvoorbeeld ldaps, om naar dit externe IP-adres om te zetten. Als u eerst lokaal op uw computer wilt testen, kunt u een vermelding in het bestand met Windows-hosts maken. Als u het hosts-bestand op uw lokale computer wilt bewerken, opent u Kladblok als beheerder en opent u het bestandC:\Windows\System32\drivers\etc\hosts.

Met de volgende voorbeeld-DNS-vermelding, met uw externe DNS-provider of in het lokale hosts-bestand, wordt verkeer omgezet naar ldaps.aaddscontoso.com het externe IP-adres van 168.62.205.103:

168.62.205.103    ldaps.aaddscontoso.com

Query's voor het beheerde domein testen

Als u verbinding en binding wilt maken met uw beheerde domein, en LDAP wilt doorzoeken, gebruikt u het hulpprogramma LDP.exe. Dit hulpprogramma maakt deel uit van het RSAT-pakket (Remote Server Administration Tools). Zie Remote Server Administration Tools installeren voor meer informatie.

1. Open LDP.exe en maak verbinding met het beheerde domein. Selecteer Verbinding en kies vervolgens Verbinding maken....
2. Voer de DNS-domeinnaam van uw beheerde domein voor Secure LDAP in die in de vorige stap is gemaakt, bijvoorbeeld ldaps.aaddscontoso.com. Als u Secure LDAP wilt gebruiken, stelt u Poort in op 636 en schakelt u het selectievakje voor SSL in.
3. Selecteer OK en maak verbinding met het beheerde domein.

Maak vervolgens een binding met het beheerde domein. Gebruikers (en serviceaccounts) kunnen geen eenvoudige bindingen voor LDAP uitvoeren als NTLM-wachtwoordhashsynchronisatie is uitgeschakeld voor uw beheerde domein. Zie Uw beheerde domein beveiligen voor meer informatie over het uitschakelen van NTLM-wachtwoordhashsynchronisatie.

1. Selecteer de menuoptie Verbinding en kies vervolgens Binden....
2. Geef de aanmeldingsgegevens van een gebruikersaccount op dat bij het beheerde domein hoort. Voer het wachtwoord van het gebruikersaccount in en voer vervolgens uw domein in, bijvoorbeeld aaddscontoso.com.
3. Kies voor Bindingstype de optie Binden met referenties.
4. Selecteer OK om het account aan het beheerde domein te binden.

U kunt als volgt zien welke objecten in uw beheerde domein zijn opgeslagen:

1. Selecteer de menuoptie Weergave en kies vervolgens Structuur.

2. Laat het veld BaseDN leeg en selecteer vervolgens OK.

3. Kies een container, zoals AADDC-gebruikers, klik met de rechtermuisknop op de container en kies Zoeken.

4. Laat de vooraf ingevulde velden ongewijzigd en selecteer vervolgens Uitvoeren. De resultaten van de query worden weergegeven in het venster aan de rechterkant, zoals wordt weergegeven in het volgende uitvoervoorbeeld:

   

Als u rechtstreeks een query wilt uitvoeren op een specifieke container, kunt u in het menu Structuurweergave > een BaseDN opgeven, zoals OU=AADDC Users,DC=AADDSCONTOSO,DC=COM of OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Zie Basisbeginselen voor LDAP-query's voor meer informatie over het opmaken en maken van query's.

Notitie

Als een zelfondertekend certificaat wordt gebruikt, controleert u of het zelfondertekende certificaat is toegevoegd aan de vertrouwde basiscertificeringsinstanties voor LDAPS om te werken met LDP.exe

Resources opschonen

Als u een DNS-vermelding hebt toegevoegd aan het bestand met lokale hosts van uw computer om de connectiviteit voor deze zelfstudie te testen, verwijdert u deze vermelding en voegt u een formeel record toe aan uw DNS-zone. Voer de volgende stappen uit om de vermelding uit het bestand met lokale hosts te verwijderen:

1. Open Kladblok als beheerder op uw lokale computer
2. Blader naar het bestand en open het.C:\Windows\System32\drivers\etc\hosts
3. Verwijder de regel voor de record die u hebt toegevoegd, bijvoorbeeld 168.62.205.103 ldaps.aaddscontoso.com

Problemen oplossen

Als er een foutbericht wordt weergegeven waarin staat dat LDAP.exe geen verbinding kan maken, kunt u proberen de verschillende aspecten van het verkrijgen van de verbinding te doorlopen:

1. De domeincontroller configureren
2. De client configureren
3. Netwerken
4. De TLS-sessie tot stand brengen

Voor de overeenkomst met de onderwerpnaam van het certificaat gebruikt de DC de Domeinnaam van Domain Services (niet de Microsoft Entra-domeinnaam) om het certificaatarchief voor het certificaat te doorzoeken. Spelfouten voorkomen bijvoorbeeld dat de domeincontroller het juiste certificaat selecteert.

De client probeert de TLS-verbinding tot stand te brengen met behulp van de naam die u hebt opgegeven. Het verkeer moet helemaal door. De domeincontroller verzendt de openbare sleutel van het serververificatiecertificaat. Het certificaat moet het juiste gebruik in het certificaat hebben, de naam die is aangemeld bij de onderwerpnaam moet compatibel zijn voor de client om te vertrouwen dat de server de DNS-naam is waarmee u verbinding maakt (dat wil gezegd, een jokerteken werkt, zonder spelfouten) en de client moet de verlener vertrouwen. U kunt controleren op problemen in die keten in het systeemlogboek in Logboeken en de gebeurtenissen filteren waarbij de bron gelijk is aan Schannel. Zodra deze onderdelen zijn geplaatst, vormen ze een sessiesleutel.

Zie TLS Handshake voor meer informatie.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

• Een digitaal certificaat maken voor gebruik met Microsoft Entra Domain Services
• Secure LDAP inschakelen voor Microsoft Entra Domain Services
• Secure LDAP configureren zodat dit via openbaar internet kan worden gebruikt
• Secure LDAP binden en testen voor een beheerd domein

Wachtwoord-hashsynchronisatie configureren voor een hybride Microsoft Entra-omgeving