已知问题:Microsoft Entra 域服务中的安全 LDAP 警报

  • 项目

使用轻型目录访问协议 (LDAP) 与 Microsoft Entra 域服务进行通信的应用程序和服务可以配置为使用安全 LDAP。 必须打开相应的证书和所需的网络端口,才能使安全 LDAP 正常工作。

本文可帮助你了解和解除域服务中与安全 LDAP 访问相关的常见警报。

AADDS101:安全 LDAP 网络配置

警报消息

已为托管域启用 Internet 上的安全 LDAP。 但是,访问端口 636 未使用网络安全组锁定。 这样可能会使托管域上的用户帐户遭到密码暴力攻击。

解决方法

启用安全 LDAP 时,建议创建额外的规则,以限制访问特定 IP 地址的入站 LDAPS。 这些规则可保护托管域免受暴力攻击。 若要更新网络安全组以限制对安全 LDAP 的 TCP 端口 636 访问,请完成以下步骤:

  1. Microsoft Entra 管理中心内,搜索并选择“网络安全组”。
  2. 选择与托管域相关联的网络安全组,例如 AADDS-contoso.com-NSG,然后选择“入站安全规则”
  3. 选择“+添加”,为 TCP 端口 636 创建规则。 如果需要,请在窗口中选择“高级”以创建规则。
  4. 对于“源”,请从下拉菜单中选择“IP 地址”。 输入要为安全 LDAP 流量授予访问权限的源 IP 地址。
  5. 选择“任意”作为目标,然后为目标端口范围输入“636”。
  6. 将协议设置为“TCP”,将操作设置为“允许”。
  7. 指定规则的优先级,然后输入名称,例如 RestrictLDAPS。
  8. 准备就绪后,选择“添加”以创建规则。

托管域的运行状况会在两小时内自动更新,并删除警报。

提示

TCP 端口 636 不是域服务平稳运行所需的唯一规则。 若要了解详细信息,请参阅域服务网络安全组和必需端口

AADDS502:安全 LDAP 证书即将到期

警报消息

托管域的安全 LDAP 证书将于 [date] 到期。

解决方法

通过执行创建安全 LDAP 证书的步骤来创建替换安全 LDAP 证书。 向域服务应用替换证书,并将证书分发给使用安全 LDAP 进行连接的任何客户端。

后续步骤

如果仍有问题,请发起 Azure 支持请求以获得更多疑难解答帮助。