Udostępnij za pośrednictwem

Znane problemy: Alerty protokołu Secure LDAP w usługach Microsoft Entra Domain Services

  • Artykuł

Aplikacje i usługi korzystające z protokołu LDAP (Lightweight Directory Access Protocol) do komunikowania się z usługami Microsoft Entra Domain Services można skonfigurować do korzystania z protokołu secure LDAP. Odpowiedni certyfikat i wymagane porty sieciowe muszą być otwarte, aby bezpieczny protokół LDAP działał poprawnie.

Ten artykuł pomaga zrozumieć i rozwiązać typowe alerty z bezpiecznym dostępem LDAP w usługach Domain Services.

AADDS101: Konfiguracja sieci protokołu Secure LDAP

Komunikat alertu

Protokół Secure LDAP przez Internet jest włączony dla domeny zarządzanej. Jednak dostęp do portu 636 nie jest zablokowany przy użyciu sieciowej grupy zabezpieczeń. Może to spowodować uwidocznienie kont użytkowników w domenie zarządzanej w celu ataków siłowych haseł.

Rozwiązanie

Po włączeniu protokołu Secure LDAP zaleca się utworzenie dodatkowych reguł, które ograniczają dostęp przychodzący LDAPS do określonych adresów IP. Te reguły chronią domenę zarządzaną przed atakami siłowymi. Aby zaktualizować sieciowa grupa zabezpieczeń w celu ograniczenia dostępu do portu TCP 636 dla protokołu Secure LDAP, wykonaj następujące kroki:

  1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Sieciowe grupy zabezpieczeń.
  2. Wybierz sieciową grupę zabezpieczeń skojarzona z domeną zarządzaną, taką jak AADDS-contoso.com-NSG, a następnie wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego
  3. Wybierz pozycję + Dodaj , aby utworzyć regułę dla portu TCP 636. W razie potrzeby wybierz pozycję Zaawansowane w oknie, aby utworzyć regułę.
  4. W polu Źródło wybierz pozycję Adresy IP z menu rozwijanego. Wprowadź źródłowe adresy IP, dla których chcesz udzielić dostępu do bezpiecznego ruchu LDAP.
  5. Wybierz pozycję Dowolne jako miejsce docelowe, a następnie wprowadź wartość 636 w polu Zakresy portów docelowych.
  6. Ustaw wartość Protokół jako TCP i akcję na Wartość Zezwalaj.
  7. Określ priorytet reguły, a następnie wprowadź nazwę, taką jak RestrictLDAPS.
  8. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj , aby utworzyć regułę.

Kondycja domeny zarządzanej automatycznie aktualizuje się w ciągu dwóch godzin i usuwa alert.

Napiwek

Port TCP 636 nie jest jedyną regułą wymaganą do bezproblemowego działania usług domenowych. Aby dowiedzieć się więcej, zobacz Sieciowe grupy zabezpieczeń usług Domenowych i wymagane porty.

AADDS502: Wygasanie certyfikatu secure LDAP

Komunikat alertu

Bezpieczny certyfikat LDAP dla domeny zarządzanej wygaśnie [date]].

Rozwiązanie

Utwórz zastępczy certyfikat secure LDAP, wykonując kroki tworzenia certyfikatu dla protokołu Secure LDAP. Zastosuj certyfikat zastępczy do usług Domain Services i rozprosz certyfikat do wszystkich klientów łączących się przy użyciu protokołu Secure LDAP.

Następne kroki

Jeśli nadal masz problemy, otwórz żądanie pomoc techniczna platformy Azure, aby uzyskać pomoc dotyczącą rozwiązywania problemów.