Bilinen sorunlar: Microsoft Entra Domain Services'da güvenli LDAP uyarıları
Microsoft Entra Domain Services ile iletişim kurmak için basit dizin erişim protokolü (LDAP) kullanan uygulamalar ve hizmetler güvenli LDAP kullanacak şekilde yapılandırılabilir. Güvenli LDAP'nin düzgün çalışması için uygun bir sertifikanın ve gerekli ağ bağlantı noktalarının açık olması gerekir.
Bu makale, Etki Alanı Hizmetleri'nde güvenli LDAP erişimi olan yaygın uyarıları anlamanıza ve çözmenize yardımcı olur.
AADDS101: Güvenli LDAP ağ yapılandırması
Uyarı iletisi
Yönetilen etki alanı için İnternet üzerinden güvenli LDAP etkinleştirilir. Ancak, 636 numaralı bağlantı noktasına erişim bir ağ güvenlik grubu kullanılarak kilitlenmez. Bu, yönetilen etki alanındaki kullanıcı hesaplarını parola deneme yanılma saldırılarına maruz bırakabilir.
Çözüm
Güvenli LDAP'yi etkinleştirdiğinizde, gelen LDAPS erişimini belirli IP adresleriyle kısıtlayan ek kurallar oluşturmanız önerilir. Bu kurallar yönetilen etki alanını deneme yanılma saldırılarına karşı korur. Ağ güvenlik grubunu güvenli LDAP için TCP bağlantı noktası 636 erişimini kısıtlayacak şekilde güncelleştirmek için aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Ağ güvenlik grupları'nı arayın ve seçin.
- AADDS-contoso.com-NSG gibi yönetilen etki alanınızla ilişkilendirilmiş ağ güvenlik grubunu seçin ve ardından Gelen güvenlik kuralları'nı seçin
- TCP bağlantı noktası 636 için kural oluşturmak için + Ekle'yi seçin. Gerekirse, bir kural oluşturmak için pencerede Gelişmiş'i seçin.
- Kaynak için, açılan menüden IP Adresleri'ni seçin. Güvenli LDAP trafiği için erişim vermek istediğiniz kaynak IP adreslerini girin.
- Hedef olarak Herhangi birini seçin, ardından Hedef bağlantı noktası aralıkları için 636 girin.
- Protokol'leri TCP ve Eylem'iİzin Ver olarak ayarlayın.
- Kuralın önceliğini belirtin, ardından RestrictLDAPS gibi bir ad girin.
- Hazır olduğunuzda, kuralı oluşturmak için Ekle'yi seçin.
Yönetilen etki alanının sistem durumu iki saat içinde otomatik olarak kendini güncelleştirir ve uyarıyı kaldırır.
Bahşiş
Etki Alanı Hizmetleri'nin sorunsuz çalışması için gereken tek kural TCP bağlantı noktası 636 değildir. Daha fazla bilgi edinmek için bkz . Etki Alanı Hizmetleri Ağ güvenlik grupları ve gerekli bağlantı noktaları.
AADDS502: Güvenli LDAP sertifikasının süresi doluyor
Uyarı iletisi
Yönetilen etki alanının güvenli LDAP sertifikasının süresi [date]] tarihinde dolacak.
Çözüm
Güvenli LDAP için sertifika oluşturma adımlarını izleyerek yeni bir güvenli LDAP sertifikası oluşturun. Değiştirme sertifikasını Etki Alanı Hizmetleri'ne uygulayın ve sertifikayı güvenli LDAP kullanarak bağlanan tüm istemcilere dağıtın.
Sonraki adımlar
Sorun yaşamaya devam ediyorsanız daha fazla sorun giderme yardımı için bir Azure desteği isteği açın.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin