Öğretici: Microsoft Entra Domain Services yönetilen etki alanı için güvenli LDAP yapılandırma

  • Makale

Microsoft Entra Domain Services ile yönetilen etki alanınızla iletişim kurmak için Basit Dizin Erişimi Protokolü (LDAP) kullanılır. LDAP trafiği varsayılan ayarlarda şifrelenmez ve bu durum birçok ortam için bir güvenlik sorunu oluşturabilir.

Microsoft Entra Domain Services ile yönetilen etki alanını güvenli Basit Dizin Erişimi Protokolü (LDAPS) kullanacak şekilde yapılandırabilirsiniz. Güvenli LDAP kullandığınızda trafik şifrelenir. Güvenli LDAP, Güvenli Yuva Katmanı (SSL) / Aktarım Katmanı Güvenliği (TLS) üzerinden LDAP olarak da bilinir.

Bu öğreticide, Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı için LDAPS'yi yapılandırma işlemi gösterilmektedir.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Microsoft Entra Domain Services ile kullanmak üzere dijital sertifika oluşturma
  • Microsoft Entra Domain Services için güvenli LDAP'yi etkinleştirme
  • Güvenli LDAP'yi genel İnternet üzerinden kullanılacak şekilde yapılandırma
  • Yönetilen etki alanı için güvenli LDAP bağlama ve test

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

Microsoft Entra yönetim merkezinde oturum açın

Bu öğreticide, Microsoft Entra yönetim merkezini kullanarak yönetilen etki alanı için güvenli LDAP yapılandıracaksınız. Başlamak için önce Microsoft Entra yönetim merkezinde oturum açın.

Güvenli LDAP için sertifika oluşturma

Güvenli LDAP kullanmak için, iletişimi şifrelemek için dijital bir sertifika kullanılır. Bu dijital sertifika yönetilen etki alanınıza uygulanır ve LDP.exe gibi araçların verileri sorgularken güvenli şifreli iletişim kullanmasını sağlar. Yönetilen etki alanına güvenli LDAP erişimi için sertifika oluşturmanın iki yolu vardır:

  • Genel sertifika yetkilisinden (CA) veya kurumsal CA'dan alınan bir sertifika.
    • Kuruluşunuz bir genel CA'dan sertifika alıyorsa, bu genel CA'dan güvenli LDAP sertifikasını alın. Kuruluşunuzda bir kurumsal CA kullanıyorsanız, kurumsal CA'dan güvenli LDAP sertifikasını alın.
    • Genel CA yalnızca yönetilen etki alanınızla özel bir DNS adı kullandığınızda çalışır. Yönetilen etki alanınızın DNS etki alanı adı .onmicrosoft.com ile bitiyorsa, bu varsayılan etki alanıyla bağlantının güvenliğini sağlamak için dijital sertifika oluşturamazsınız. .onmicrosoft.com etki alanının sahibi Microsoft olduğundan, genel CA sertifika vermez. Bu senaryoda, otomatik olarak imzalanan bir sertifika oluşturun ve güvenli LDAP yapılandırmak için bunu kullanın.
  • Kendi oluşturduğunuz otomatik olarak imzalanan bir sertifika.
    • Bu yaklaşım test amaçları için uygundur ve bu öğreticide bu durum gösterilir.

İstediğiniz veya oluşturduğunuz sertifika aşağıdaki gereksinimleri karşılamalıdır. Geçersiz bir sertifikayla güvenli LDAP'yi etkinleştirirseniz yönetilen etki alanınız sorunlarla karşılaşır:

  • Güvenilen veren - Sertifikanın, güvenli LDAP kullanarak yönetilen etki alanına bağlanan bilgisayarlar tarafından güvenilen bir yetkili tarafından verilmesi gerekir. Bu yetkili, bu bilgisayarlar tarafından güvenilen bir genel CA veya Kurumsal CA olabilir.
  • Yaşam süresi - Sertifika en az sonraki 3-6 ay boyunca geçerli olmalıdır. Sertifikanın süresi dolduğunda yönetilen etki alanınıza güvenli LDAP erişimi kesintiye uğrar.
  • Konu adı - Sertifikadaki konu adı yönetilen etki alanınız olmalıdır. Örneğin, etki alanınız aaddscontoso.com olarak adlandırılıyorsa sertifikanın konu adı *.aaddscontoso.com olmalıdır.
    • Güvenli LDAP'nin Etki Alanı Hizmetleri ile düzgün çalıştığından emin olmak için sertifikanın DNS adı veya konu alternatif adı joker karakter sertifikası olmalıdır. Etki Alanı Denetleyicileri rastgele adlar kullanır ve hizmetin kullanılabilir durumda kaldığından emin olmak için kaldırılabilir veya eklenebilir.
  • Anahtar kullanımı - Sertifikanın dijital imzalar ve anahtar şifreleme için yapılandırılması gerekir.
  • Sertifika amacı - Sertifika TLS sunucu kimlik doğrulaması için geçerli olmalıdır.

OpenSSL, Keytool, MakeCert , New-SelfSignedCertificate cmdlet'i gibi otomatik olarak imzalanan sertifika oluşturmak için kullanılabilecek çeşitli araçlar vardır.

Bu öğreticide, New-SelfSignedCertificate cmdlet'ini kullanarak güvenli LDAP için otomatik olarak imzalanan bir sertifika oluşturalım.

Yönetici istrator olarak bir PowerShell penceresi açın ve aşağıdaki komutları çalıştırın. $dnsName değişkenini, aaddscontoso.com gibi kendi yönetilen etki alanınız tarafından kullanılan DNS adıyla değiştirin:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Aşağıdaki örnek çıktı, sertifikanın başarıyla oluşturulduğunu ve yerel sertifika deposunda (LocalMachine\MY) depolandığını gösterir:

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Gerekli sertifikaları anlama ve dışarı aktarma

Güvenli LDAP kullanmak için ağ trafiği ortak anahtar altyapısı (PKI) kullanılarak şifrelenir.

  • Yönetilen etki alanına özel anahtar uygulanır.
    • Bu özel anahtar, güvenli LDAP trafiğinin şifresini çözmek için kullanılır. Özel anahtar yalnızca yönetilen etki alanına uygulanmalıdır ve istemci bilgisayarlara yaygın olarak dağıtılmamalıdır.
    • Özel anahtarı içeren bir sertifika kullanır . PFX dosya biçimi.
    • Sertifikayı dışarı aktarırken TripleDES-SHA1 şifreleme algoritmasını belirtmeniz gerekir. Bu yalnızca .pfx dosyası için geçerlidir ve sertifikanın kendisi tarafından kullanılan algoritmayı etkilemez. TripleDES-SHA1 seçeneğinin yalnızca Windows Server 2016'da kullanıma sunulduğuna dikkat edin.
  • İstemci bilgisayarlara ortak anahtar uygulanır.
    • Bu ortak anahtar, güvenli LDAP trafiğini şifrelemek için kullanılır. Ortak anahtar istemci bilgisayarlara dağıtılabilir.
    • Özel anahtarı olmayan sertifikalar kullanır . CER dosya biçimi.

Bu iki anahtar, özel ve ortak anahtarlar, yalnızca uygun bilgisayarların birbirleriyle başarılı bir şekilde iletişim kurabildiğinden emin olun. Genel CA veya kurumsal CA kullanıyorsanız, size özel anahtarı içeren bir sertifika verilir ve yönetilen bir etki alanına uygulanabilir. Ortak anahtar istemci bilgisayarlar tarafından zaten biliniyor ve güvenilir olmalıdır.

Bu öğreticide, özel anahtarla otomatik olarak imzalanan bir sertifika oluşturdunuz, bu nedenle uygun özel ve genel bileşenleri dışarı aktarmanız gerekiyor.

Microsoft Entra Domain Services için sertifikayı dışarı aktarma

Önceki adımda oluşturulan dijital sertifikayı yönetilen etki alanınızla kullanabilmek için önce sertifikayı öğesine aktarın. Özel anahtarı içeren PFX sertifika dosyası.

  1. Çalıştır iletişim kutusunu açmak için Windows + R tuşlarını seçin.

  2. Çalıştır iletişim kutusuna mmc girerek Microsoft Yönetim Konsolu'nu (MMC) açın ve tamam'ı seçin.

  3. Kullanıcı Hesabı Denetimi isteminde, MMC'yi yönetici olarak başlatmak için Evet'i seçin.

  4. Dosya menüsünde Ek Bileşen Ekle/Kaldır... öğesini seçin.

  5. Sertifikalar ek bileşeni sihirbazında Bilgisayar hesabı'nı ve ardından İleri'yi seçin.

  6. Bilgisayar Seç sayfasında Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) öğesini ve ardından Son'u seçin.

  7. Ek Bileşen Ekle veya Kaldır iletişim kutusunda Tamam'ı seçerek sertifika ek bileşenini MMC'ye ekleyin.

  8. MMC penceresinde Konsol Kökü'ne tıklayın. Sertifikalar (Yerel Bilgisayar) öğesini seçin, ardından Kişisel düğümünü ve ardından Sertifikalar düğümünü genişletin.

    Open the personal certificates store in the Microsoft Management Console

  9. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika, örneğin aaddscontoso.com gösterilir. Bu sertifikayı sağ seçin ve ardından Tüm Görevleri > Dışarı Aktar... seçeneğini belirleyin.

    Export certificate in the Microsoft Management Console

  10. Sertifika Dışarı Aktarma Sihirbazı'nda İleri'yi seçin.

  11. Sertifikanın özel anahtarı dışarı aktarılmalıdır. Özel anahtar dışarı aktarılan sertifikaya dahil değilse, yönetilen etki alanınız için güvenli LDAP'yi etkinleştirme eylemi başarısız olur.

    Özel Anahtarı Dışarı Aktar sayfasında Evet, özel anahtarı dışarı aktar'ı ve ardından İleri'yi seçin.

  12. Yönetilen etki alanları yalnızca 'yi destekler. Özel anahtarı içeren PFX sertifika dosya biçimi. Sertifikayı olarak dışarı aktarma. Özel anahtar olmadan CER sertifikası dosya biçimi.

    Dosya Biçimini Dışarı Aktar sayfasında Kişisel Bilgi Değişimi - PKCS #12 ( öğesini seçin. PFX), dışarı aktarılan sertifikanın dosya biçimi olarak. Mümkünse sertifika yoluna tüm sertifikaları dahil et kutusunu işaretleyin:

    Choose the option to export the certificate in the PKCS 12 (.PFX) file format

  13. Bu sertifika verilerin şifresini çözmek için kullanıldığından, erişimi dikkatle denetlemeniz gerekir. Sertifikanın kullanımını korumak için bir parola kullanılabilir. Doğru parola olmadan sertifika bir hizmete uygulanamaz.

    Güvenlik sayfasında, öğesini korumak için Parola seçeneğini belirleyin. PFX sertifika dosyası. Şifreleme algoritması TripleDES-SHA1 olmalıdır. Bir parola girip onayladıktan sonra İleri'yi seçin. Bu parola, yönetilen etki alanınız için güvenli LDAP'yi etkinleştirmek üzere bir sonraki bölümde kullanılır.

    PowerShell export-pfxcertificate cmdlet'ini kullanarak dışarı aktarırsanız, TripleDES_SHA1 kullanarak -CryptoAlgorithmOption bayrağını geçirmeniz gerekir.

    Screenshot of how to encrypt the password

  14. Dışarı Aktarılacak Dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumu (gibiC:\Users\<account-name>\azure-ad-ds.pfx) belirtin. parolasını ve konumunu not edin. Bu bilgiler sonraki adımlarda gerekli olacağından PFX dosyası.

  15. Gözden geçirme sayfasında Son'u seçerek sertifikayı bir öğesine aktarın. PFX sertifika dosyası. Sertifika başarıyla dışarı aktarıldığında bir onay iletişim kutusu görüntülenir.

  16. MMC'yi aşağıdaki bölümde kullanmak üzere açık bırakın.

İstemci bilgisayarlar için sertifikayı dışarı aktarma

İstemci bilgisayarların LDAPS kullanarak yönetilen etki alanına başarıyla bağlanabilmesi için güvenli LDAP sertifikası verene güvenmesi gerekir. İstemci bilgisayarların Etki Alanı Hizmetleri tarafından şifresi çözülen verileri başarıyla şifrelemek için bir sertifikaya ihtiyacı vardır. Genel CA kullanıyorsanız, bilgisayarın bu sertifika verenlere otomatik olarak güvenmesi ve buna karşılık gelen bir sertifikaya sahip olması gerekir.

Bu öğreticide otomatik olarak imzalanan bir sertifika kullanıyor ve önceki adımda özel anahtarı içeren bir sertifika oluşturacaksınız. Şimdi otomatik olarak imzalanan sertifikayı dışarı aktarıp istemci bilgisayardaki güvenilen sertifika deposuna yükleyelim:

  1. Sertifikalar (Yerel Bilgisayar) > Kişisel > Sertifikalar deposu için MMC'ye geri dönün. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika aaddscontoso.com gibi gösterilir. Bu sertifikayı sağ seçin ve ardından Tüm Görevleri > Dışarı Aktar... seçeneğini belirleyin.

  2. Sertifika Dışarı Aktarma Sihirbazı'nda İleri'yi seçin.

  3. İstemciler için özel anahtara ihtiyacınız olmadığından, Özel Anahtarı Dışarı Aktar sayfasında Hayır, özel anahtarı dışarı aktarma'yı ve ardından İleri'yi seçin.

  4. Dosya Biçimini Dışarı Aktar sayfasında Base-64 ile kodlanmış X.509 ( öğesini seçin. CER) dışarı aktarılan sertifika için dosya biçimi olarak:

    Choose the option to export the certificate in the Base-64 encoded X.509 (.CER) file format

  5. Dışarı Aktarılacak Dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumu (gibiC:\Users\<account-name>\azure-ad-ds-client.cer) belirtin.

  6. Gözden geçirme sayfasında Son'u seçerek sertifikayı bir öğesine aktarın. CER sertifika dosyası. Sertifika başarıyla dışarı aktarıldığında bir onay iletişim kutusu görüntülenir.

. CER sertifika dosyası artık yönetilen etki alanına güvenli LDAP bağlantısına güvenmesi gereken istemci bilgisayarlara dağıtılabilir. Sertifikayı yerel bilgisayara yükleyelim.

  1. Dosya Gezgini açın ve öğesini kaydettiğiniz konuma göz atın. CER sertifika dosyası, örneğinC:\Users\<account-name>\azure-ad-ds-client.cer.

  2. öğesini sağ seçin. CER sertifika dosyası, ardından Sertifika Yükle'yi seçin.

  3. Sertifika İçeri Aktarma Sihirbazı'nda sertifikayı Yerel makinede depolamayı ve ardından İleri'yi seçin:

    Choose the option to import the certificate into the local machine store

  4. İstendiğinde, bilgisayarın değişiklik yapmasına izin vermek için Evet'i seçin.

  5. Sertifika türüne göre sertifika depoyu otomatik olarak seçin ve ardından İleri'yi seçin.

  6. gözden geçirme sayfasında Son'u seçerek öğesini içeri aktarın. CER sertifikası. dosya Sertifika başarıyla içeri aktarıldığında bir onay iletişim kutusu görüntülenir.

Microsoft Entra Domain Services için güvenli LDAP'yi etkinleştirme

Özel anahtarı içeren bir dijital sertifika oluşturulup dışarı aktarıldığında ve istemci bilgisayar bağlantıya güvenecek şekilde ayarlandığında, artık yönetilen etki alanınızda güvenli LDAP'yi etkinleştirin. Yönetilen bir etki alanında güvenli LDAP'yi etkinleştirmek için aşağıdaki yapılandırma adımlarını gerçekleştirin:

  1. Microsoft Entra yönetim merkezinde, Kaynak ara kutusuna etki alanı hizmetleri girin. Arama sonucundan Microsoft Entra Domain Services'ı seçin.

  2. aaddscontoso.com gibi yönetilen etki alanınızı seçin.

  3. Microsoft Entra Domain Services penceresinin sol tarafında Güvenli LDAP'yi seçin.

  4. Varsayılan olarak, yönetilen etki alanınıza güvenli LDAP erişimi devre dışı bırakılır. Güvenli LDAP'yi Etkinleştir'e getirin.

  5. İnternet üzerinden yönetilen etki alanınıza güvenli LDAP erişimi varsayılan olarak devre dışıdır. Genel güvenli LDAP erişimini etkinleştirdiğinizde, etki alanınız İnternet üzerinden parola deneme yanılma saldırılarına karşı savunmasızdır. Sonraki adımda, yalnızca gerekli kaynak IP adresi aralıklarına erişimi kilitlemek için bir ağ güvenlik grubu yapılandırılır.

    İnternet üzerinden güvenli LDAP erişimine izin ver seçeneğini Etkinleştir'e getirin.

  6. öğesinin yanındaki klasör simgesini seçin. Güvenli LDAP sertifikasına sahip PFX dosyası. yolunu bulun . PFX dosyası, ardından özel anahtarı içeren önceki bir adımda oluşturulan sertifikayı seçin.

    Önemli

    Sertifika gereksinimleriyle ilgili önceki bölümde belirtildiği gibi, varsayılan .onmicrosoft.com etki alanına sahip bir genel CA'dan sertifika kullanamazsınız. .onmicrosoft.com etki alanının sahibi Microsoft olduğundan, genel CA sertifika vermez.

    Sertifikanızın uygun biçimde olduğundan emin olun. Aksi takdirde, güvenli LDAP'yi etkinleştirdiğinizde Azure platformu sertifika doğrulama hataları oluşturur.

  7. şifresini çözmek için parolayı girin. PfX dosya kümesi önceki bir adımda sertifika bir öğesine aktarıldığında ayarlanmıştır. PFX dosyası.

  8. Güvenli LDAP'yi etkinleştirmek için Kaydet'i seçin.

    Enable secure LDAP for a managed domain in the Microsoft Entra admin center

Yönetilen etki alanı için güvenli LDAP'nin yapılandırıldığını belirten bir bildirim görüntülenir. Bu işlem tamamlanana kadar yönetilen etki alanının diğer ayarlarını değiştiremezsiniz.

Yönetilen etki alanınız için güvenli LDAP'yi etkinleştirmek birkaç dakika sürer. Sağladığınız güvenli LDAP sertifikası gerekli ölçütlere uymuyorsa, yönetilen etki alanı için güvenli LDAP'yi etkinleştirme eylemi başarısız olur.

Hatanın yaygın nedenlerinden bazıları, etki alanı adının yanlış olması, sertifikanın şifreleme algoritmasının TripleDES-SHA1 olması veya sertifikanın süresinin yakında dolması veya süresi dolmuş olmasıdır. Sertifikayı geçerli parametrelerle yeniden oluşturabilir ve ardından bu güncelleştirilmiş sertifikayı kullanarak güvenli LDAP'yi etkinleştirebilirsiniz.

Süresi dolan sertifikayı değiştirme

  1. Güvenli LDAP için sertifika oluşturma adımlarını izleyerek yeni bir güvenli LDAP sertifikası oluşturun.
  2. Değiştirme sertifikasını Etki Alanı Hizmetleri'ne uygulamak için, Microsoft Entra yönetim merkezindeki Microsoft Entra Domain Services'ın sol menüsünde Güvenli LDAP'yi ve ardından Sertifikayı Değiştir'i seçin.
  3. Sertifikayı güvenli LDAP kullanarak bağlanan tüm istemcilere dağıtın.

İnternet üzerinden güvenli LDAP erişimini kilitleme

yönetilen etki alanınıza İnternet üzerinden güvenli LDAP erişimini etkinleştirdiğinizde, bu bir güvenlik tehdidi oluşturur. Yönetilen etki alanına 636 numaralı TCP bağlantı noktasından İnternet'ten ulaşılabilir. Yönetilen etki alanına erişimi ortamınız için belirli bilinen IP adresleriyle kısıtlamanız önerilir. Azure ağ güvenlik grubu kuralı, güvenli LDAP erişimini sınırlamak için kullanılabilir.

Belirtilen IP adresleri kümesinden 636 numaralı TCP bağlantı noktası üzerinden gelen güvenli LDAP erişimine izin vermek için bir kural oluşturalım. Daha düşük önceliğe sahip varsayılan DenyAll kuralı, İnternet'ten gelen diğer tüm trafik için geçerlidir, bu nedenle yalnızca belirtilen adresler güvenli LDAP kullanarak yönetilen etki alanınıza ulaşabilir.

  1. Microsoft Entra yönetim merkezinde Kaynak grupları'nı arayın ve seçin.

  2. myResourceGroup gibi kaynak grubunuzu seçin ve ardından aaads-nsg gibi ağ güvenlik grubunuzu seçin.

  3. Mevcut gelen ve giden güvenlik kurallarının listesi görüntülenir. Ağ güvenlik grubu penceresinin sol tarafında gelen güvenlik kurallarını Ayarlar > seçin.

  4. Ekle'yi seçin ve ardından 636 numaralı TCP bağlantı noktasına izin vermek için bir kural oluşturun. Gelişmiş güvenlik için kaynağı IP Adresleri olarak seçin ve ardından kuruluşunuz için kendi geçerli IP adresinizi veya aralığınızı belirtin.

    Ayar Değer
    Source IP Adresleri
    Kaynak IP adresleri / CIDR aralıkları Ortamınız için geçerli bir IP adresi veya aralık
    Kaynak bağlantı noktası aralıkları *
    Hedef Tümü
    Hedef bağlantı noktası aralıkları 636
    Protokol TCP
    Eylem İzin ver
    Öncelik Kategori 401
    Adı AllowLDAPS

  5. Hazır olduğunuzda, kuralı kaydetmek ve uygulamak için Ekle'yi seçin.

    Create a network security group rule to secure LDAPS access over the internet

Dış erişim için DNS bölgesini yapılandırma

İnternet üzerinden güvenli LDAP erişimi etkinleştirildiğinde, istemci bilgisayarların bu yönetilen etki alanını bulabilmesi için DNS bölgesini güncelleştirin. Güvenli LDAP dış IP adresi, yönetilen etki alanınızın Özellikler sekmesinde listelenir:

View the secure LDAP external IP address for your managed domain in the Microsoft Entra admin center

Dış DNS sağlayıcınızı ldaps gibi bir konak kaydı oluşturarak bu dış IP adresine çözüm olacak şekilde yapılandırın. İlk olarak makinenizde yerel olarak test etmek için Windows konakları dosyasında bir girdi oluşturabilirsiniz. Yerel makinenizdeki hosts dosyasını başarıyla düzenlemek için, Not Defteri yönetici olarak açın ve dosyasını açınC:\Windows\System32\drivers\etc\hosts.

Aşağıdaki örnek DNS girişi, dış DNS sağlayıcınızla veya yerel konaklar dosyasında, için ldaps.aaddscontoso.com dış IP adresine 168.62.205.103gelen trafiği çözümler:

168.62.205.103    ldaps.aaddscontoso.com

Yönetilen etki alanında sorguları test etme

Yönetilen etki alanınıza bağlanmak ve bağlanmak ve LDAP üzerinden arama yapmak için LDP.exe aracını kullanırsınız. Bu araç, Uzak Sunucu Yönetici Istrasyon Araçları (RSAT) paketine dahildir. Daha fazla bilgi için bkz. Uzak Sunucu Yönetici Istrasyon Araçları'nı yükleme.

  1. LDP.exe dosyasını açın ve yönetilen etki alanına bağlanın. Bağlan ion'u ve ardından Bağlan... öğesini seçin.
  2. Önceki adımda oluşturulan ldaps.aaddscontoso.com gibi yönetilen etki alanınızın güvenli LDAP DNS etki alanı adını girin. Güvenli LDAP kullanmak için Bağlantı noktası'nı 636 olarak ayarlayın, ardından SSL kutusunu işaretleyin.
  3. Yönetilen etki alanına bağlanmak için Tamam'ı seçin.

Ardından, yönetilen etki alanınıza bağlayın. Yönetilen etki alanınızda NTLM parola karması eşitlemesini devre dışı bırakmışsanız kullanıcılar (ve hizmet hesapları) LDAP basit bağlamaları gerçekleştiremez. NTLM parola karması eşitlemesini devre dışı bırakma hakkında daha fazla bilgi için bkz . Yönetilen etki alanınızın güvenliğini sağlama.

  1. Bağlan menü seçeneğini ve ardından Bağla... seçeneğini belirleyin.
  2. Yönetilen etki alanına ait bir kullanıcı hesabının kimlik bilgilerini sağlayın. Kullanıcı hesabının parolasını girin, ardından etki alanınızı (aaddscontoso.com gibi) girin.
  3. Bağlama türü için Kimlik bilgileriyle bağla seçeneğini belirleyin.
  4. Yönetilen etki alanınıza bağlanmak için Tamam'ı seçin.

Yönetilen etki alanınızda depolanan nesneleri görmek için:

  1. Görünüm menü seçeneğini ve ardından Ağaç'ı seçin.

  2. BaseDN alanını boş bırakın ve Tamam'ı seçin.

  3. AADDC Kullanıcıları gibi bir kapsayıcı seçin, ardından kapsayıcıyı sağ seçip Ara'yı seçin.

  4. Önceden doldurulmuş alanları ayarlanmış olarak bırakın ve Çalıştır'ı seçin. Sorgunun sonuçları, aşağıdaki örnek çıktıda gösterildiği gibi sağ pencerede görüntülenir:

    Search for objects in your managed domain using LDP.exe

Belirli bir kapsayıcıyı doğrudan sorgulamak için, Görünüm > Ağacı menüsündeN OU=AADDC Kullanıcıları,DC=AADDSCONTOSO,DC=COM veya OU=AADDC Bilgisayarları,DC=AADDSCONTOSO,DC=COM gibi bir BaseDN belirtebilirsiniz. Sorguları biçimlendirme ve oluşturma hakkında daha fazla bilgi için bkz . LDAP sorgusu temel bilgileri.

Dekont

Otomatik olarak imzalanan bir sertifika kullanılıyorsa LDAPS'nin LDP.exe ile çalışması için Güvenilen Kök Sertifika Yetkililerine Otomatik olarak imzalanan sertifika eklendiğinden emin olun

Kaynakları temizleme

Bu öğreticinin bağlantısını test etmek için bilgisayarınızın yerel konaklar dosyasına bir DNS girdisi eklediyseniz, bu girdiyi kaldırın ve DNS bölgenize resmi bir kayıt ekleyin. Girdiyi yerel konaklar dosyasından kaldırmak için aşağıdaki adımları tamamlayın:

  1. Yerel makinenizde Not Defteri yönetici olarak açın
  2. dosyasına gidin ve dosyasını C:\Windows\System32\drivers\etc\hostsaçın.
  3. Eklediğiniz kaydın satırını silme, örneğin 168.62.205.103 ldaps.aaddscontoso.com

Sorun giderme

LDAP.exe dosyasının bağlanamadığını belirten bir hata görürseniz, bağlantıyı edinmenin farklı yönleri üzerinde çalışmayı deneyin:

  1. Etki alanı denetleyicisini yapılandırma
  2. İstemciyi yapılandırma
  4. TLS oturumunu oluşturma

Sertifika konu adı eşleşmesi için DC, sertifika deposunda sertifikayı aramak için Etki Alanı Hizmetleri etki alanı adını (Microsoft Entra etki alanı adını değil) kullanır. Örneğin yazım hataları DC'nin doğru sertifikayı seçmesini engeller.

İstemci, sağladığınız adı kullanarak TLS bağlantısını kurmayı dener. Trafiğin tamamen geçmesi gerekiyor. DC, sunucu kimlik doğrulaması sertifikasının ortak anahtarını gönderir. Sertifikanın sertifikada doğru kullanıma sahip olması, konu adında imzalanan adın istemcinin, sunucunun bağlandığınız DNS adı olduğuna (yani, yazım hatası olmadan bir joker karakter çalışacaktır) güvenebilmesi için uyumlu olması ve istemcinin verene güvenmesi gerekir. Olay Görüntüleyicisi sistem günlüğünde bu zincirdeki sorunları denetleyebilirsiniz ve kaynağın Schannel'e eşit olduğu olayları filtreleyebilirsiniz. Bu parçalar yerine yerleştirildikten sonra bir oturum anahtarı oluşturur.

Daha fazla bilgi için bkz . TLS El Sıkışması.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Microsoft Entra Domain Services ile kullanmak üzere dijital sertifika oluşturma
  • Microsoft Entra Domain Services için güvenli LDAP'yi etkinleştirme
  • Güvenli LDAP'yi genel İnternet üzerinden kullanılacak şekilde yapılandırma
  • Yönetilen etki alanı için güvenli LDAP bağlama ve test

Karma bir Microsoft Entra ortamı için parola karması eşitlemesini yapılandırma