Problemas conhecidos: Alertas de LDAP seguro no Azure Active Directory Domain Services

Os aplicativos e serviços que usam o protocolo LDAP para se comunicar com Azure Active Directory Domain Services (AD DS do Azure) podem ser configurados para usar o LDAP seguro. Um certificado apropriado e as portas de rede necessárias devem estar abertos para que o LDAP seguro funcione corretamente.

Este artigo ajuda você a entender e resolver alertas comuns com acesso LDAP seguro no Azure AD DS.

AADDS101: configuração de rede LDAP Seguro

Mensagem de alerta

LDAP Seguro pela internet está habilitado para o domínio gerenciado. No entanto, o acesso à porta 636 não é protegido usando um grupo de segurança de rede. Isso pode expor as contas de usuário no domínio gerenciado a ataques de força bruta da senha.

Resolução

Quando você habilita o LDAP seguro, é recomendável criar regras adicionais que restrinjam o acesso de LDAPs de entrada a endereços IP específicos. Essas regras protegem o domínio gerenciado contra ataques de força bruta. Para atualizar o grupo de segurança de rede para restringir o acesso à porta TCP 636 para LDAP seguro, conclua as seguintes etapas:

  1. No portal do Azure, pesquise e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSGe selecione Regras de segurança de entrada
  3. Selecione + Adicionar para criar uma regra para a porta TCP 636. Se necessário, selecione Avançado na janela para criar uma regra.
  4. Para a Origem, escolha endereços IP no menu suspenso. Insira os endereços IP de origem que você deseja conceder acesso para tráfego LDAP seguro.
  5. Escolha Qualquer como Destinoe, em seguida, insira 636 para os Intervalos de porta de destino.
  6. Defina o Protocolo como TCP e a Ação como Permitir.
  7. Especifique a prioridade para a regra e insira um nome como RestrictLDAPS.
  8. Quando estiver pronto, selecione Adicionar para criar a regra.

A integridade do domínio gerenciado é atualizada automaticamente dentro de duas horas e remove o alerta.

Dica

A porta TCP 636 não é a única regra necessária para que o AD DS do Azure seja executado sem problemas. Para saber mais, confira o Azure AD DS grupos de segurança de rede e portas necessárias.

AADDS502: Expiração do certificado LDAP Seguro

Mensagem de alerta

O certificado LDAP seguro para o domínio gerenciado expirará em [data]].

Resolução

Crie um certificado substituto para LDAP Seguro seguindo as etapas para Criar um certificado para o LDAP Seguro. Aplique o certificado de substituição à AD DS do Azure e distribua o certificado para todos os clientes que se conectam usando o LDAP seguro.

Próximas etapas

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter assistência de solução de problemas adicional.