Kända problem: Säkra LDAP-aviseringar i Microsoft Entra Domain Services

  • Artikel

Program och tjänster som använder LDAP (Lightweight Directory Access Protocol) för att kommunicera med Microsoft Entra Domain Services kan konfigureras för att använda säker LDAP. Ett lämpligt certifikat och nödvändiga nätverksportar måste vara öppna för att säker LDAP ska fungera korrekt.

Den här artikeln hjälper dig att förstå och lösa vanliga aviseringar med säker LDAP-åtkomst i Domain Services.

AADDS101: Säker LDAP-nätverkskonfiguration

Aviseringsmeddelande

Säker LDAP via Internet är aktiverad för den hanterade domänen. Åtkomsten till port 636 är dock inte låst med hjälp av en nätverkssäkerhetsgrupp. Detta kan göra användarkonton på den hanterade domänen tillgängliga för råstyrkeattacker för lösenord.

Åtgärd

När du aktiverar säker LDAP rekommenderar vi att du skapar extra regler som begränsar inkommande LDAPS-åtkomst till specifika IP-adresser. Dessa regler skyddar den hanterade domänen från råstyrkeattacker. Utför följande steg för att uppdatera nätverkssäkerhetsgruppen för att begränsa TCP-port 636-åtkomst för säker LDAP:

  1. I administrationscentret för Microsoft Entra söker du efter och väljer Nätverkssäkerhetsgrupper.
  2. Välj den nätverkssäkerhetsgrupp som är associerad med din hanterade domän, till exempel AADDS-contoso.com-NSG och välj sedan Inkommande säkerhetsregler
  3. Välj + Lägg till för att skapa en regel för TCP-port 636. Om det behövs väljer du Avancerat i fönstret för att skapa en regel.
  4. För Källan väljer du IP-adresser i den nedrullningsbara menyn. Ange de käll-IP-adresser som du vill bevilja åtkomst för säker LDAP-trafik.
  5. Välj Valfritt som mål och ange sedan 636 för målportintervall.
  6. Ange protokollet som TCP och åtgärden till Tillåt.
  7. Ange prioriteten för regeln och ange sedan ett namn som RestrictLDAPS.
  8. När du är klar väljer du Lägg till för att skapa regeln.

Den hanterade domänens hälsotillstånd uppdateras automatiskt inom två timmar och tar bort aviseringen.

Dricks

TCP-port 636 är inte den enda regel som krävs för att Domain Services ska fungera smidigt. Mer information finns i Säkerhetsgrupper och nödvändiga portar för Domain Services Network.

AADDS502: Säkert LDAP-certifikat upphör att gälla

Aviseringsmeddelande

Det säkra LDAP-certifikatet för den hanterade domänen upphör att gälla [datum]].

Åtgärd

Skapa ett ersättningssäkert LDAP-certifikat genom att följa stegen för att skapa ett certifikat för säker LDAP. Tillämpa ersättningscertifikatet på Domain Services och distribuera certifikatet till alla klienter som ansluter med säker LDAP.

Nästa steg

Om du fortfarande har problem öppnar du en Azure-supportbegäran för mer felsökningshjälp.