Problemas conhecidos: Alertas LDAP seguros nos Serviços de Domínio do Microsoft Entra

  • Artigo

Os aplicativos e serviços que usam o protocolo LDAP (lightweight directory access protocol) para se comunicar com os Serviços de Domínio Microsoft Entra podem ser configurados para usar LDAP seguro. Um certificado apropriado e as portas de rede necessárias devem estar abertos para que o LDAP seguro funcione corretamente.

Este artigo ajuda você a entender e resolver alertas comuns com acesso LDAP seguro nos Serviços de Domínio.

AADDS101: Configuração segura da rede LDAP

Mensagem de alerta

O LDAP seguro pela Internet está ativado para o domínio gerenciado. No entanto, o acesso à porta 636 não é bloqueado usando um grupo de segurança de rede. Isso pode expor as contas de usuário no domínio gerenciado a ataques de força bruta de senha.

Resolução

Quando você habilita o LDAP seguro, é recomendável criar regras extras que restrinjam o acesso LDAPS de entrada a endereços IP específicos. Essas regras protegem o domínio gerenciado contra ataques de força bruta. Para atualizar o grupo de segurança de rede para restringir o acesso à porta TCP 636 para LDAP seguro, conclua as seguintes etapas:

  1. No centro de administração do Microsoft Entra, procure e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao seu domínio gerenciado, como AADDS-contoso.com-NSG e, em seguida, selecione Regras de segurança de entrada
  3. Selecione + Adicionar para criar uma regra para a porta TCP 636. Se necessário, selecione Avançado na janela para criar uma regra.
  4. Para a fonte, escolha Endereços IP no menu suspenso. Insira os endereços IP de origem que você deseja conceder acesso para tráfego LDAP seguro.
  5. Escolha Qualquer como Destino e, em seguida, insira 636 para Intervalos de portas de destino.
  6. Defina o protocolo como TCP e a ação como Permitir.
  7. Especifique a prioridade para a regra e insira um nome como RestrictLDAPS.
  8. Quando estiver pronto, selecione Adicionar para criar a regra.

A integridade do domínio gerenciado se atualiza automaticamente em duas horas e remove o alerta.

Gorjeta

A porta TCP 636 não é a única regra necessária para que os Serviços de Domínio funcionem sem problemas. Para saber mais, consulte os grupos de segurança da Rede de Serviços de Domínio e as portas necessárias.

AADDS502: Certificado LDAP seguro expirando

Mensagem de alerta

O certificado LDAP seguro para o domínio gerenciado expirará em [data]].

Resolução

Crie um certificado LDAP seguro de substituição seguindo as etapas para criar um certificado para LDAP seguro. Aplique o certificado de substituição aos Serviços de Domínio e distribua o certificado a todos os clientes que se conectarem usando LDAP seguro.

Próximos passos

Se você ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda para solução de problemas.