Известные проблемы: защита оповещений LDAP в доменных службах Microsoft Entra

  • Статья

Приложения и службы, использующие протокол LDAP для обмена данными с доменными службами Microsoft Entra, можно настроить для использования защищенного ПРОТОКОЛА LDAP. Чтобы защищенный протокол LDAP работал правильно, должен присутствовать необходимый сертификат, а также должны быть открыты необходимые сетевые порты.

В этой статье вы узнаете и устраните распространенные оповещения с безопасным доступом LDAP в доменных службах.

AADDS101: конфигурация сети с защищенным протоколом LDAP

Текст предупреждения

Защищенный протокол LDAP через Интернет включен в управляемом домене. Однако доступ к порту 636 не заблокирован с помощью группы безопасности сети. Это может привести к тому, что учетные записи пользователей могут подвергнуться атакам с использованием метода подбора пароля.

Разрешение

При включении безопасного протокола LDAP рекомендуется создать дополнительные правила, ограничивающие доступ к определенным IP-адресам входящего трафика LDAPS. Эти правила защищают управляемый домен от атак методом подбора. Чтобы изменить группу безопасности сети, ограничив доступ к TCP-порту 636 для защищенного протокола LDAP, выполните следующие действия:

  1. В Центре администрирования Microsoft Entra найдите и выберите группы безопасности сети.
  2. Выберите группу безопасности сети, связанную с вашим управляемым доменом, например AADDS-contoso.com-NSG, а затем выберите элемент Правила безопасности для входящего трафика.
  3. Выберите + Добавить, чтобы создать правило для TCP-порта 636. При необходимости выберите Дополнительно в окне, чтобы создать правило.
  4. В раскрывающемся меню Источник выберите IP-адреса. Введите IP-адреса источника, которые вы хотите разрешить для трафика защищенного протокола LDAP.
  5. В качестве значения параметра Назначение выберите Любой, а затем укажите 636 для параметра Диапазоны портов назначения.
  6. Для параметра Протокол укажите значение TCP, а для Действие — Разрешить.
  7. Укажите приоритет правила, а затем введите имя, например RestrictLDAPS.
  8. Завершив настройку, выберите Добавить, чтобы создать правило.

Сведения о работоспособности управляемого домена автоматически обновятся в течение двух часов, и оповещение исчезнет.

Совет

TCP-порт 636 не является единственным правилом, необходимым для плавного запуска доменных служб. Дополнительные сведения см. в группах безопасности сети доменных служб и необходимых портах.

AADDS502. Срок действия сертификата защищенного протокола LDAP истекает

Текст предупреждения

Срок действия защищенного сертификата LDAP для управляемого домена истекает [дата]].

Разрешение

Создайте заменяющий сертификат для защищенного протокола LDAP, выполнив эти действия. Примените сертификат замены к доменным службам и распределите сертификат всем клиентам, которые подключаются с помощью защищенного протокола LDAP.

Следующие шаги

Если у вас по-прежнему возникли проблемы, откройте запрос поддержка Azure для получения дополнительной справки по устранению неполадок.