可以使用轻型目录访问协议(LDAP)与 Microsoft Entra 域服务进行通信的应用程序和服务可配置 为使用安全 LDAP。 必须打开适当的证书和所需的网络端口,才能使安全 LDAP 正常工作。
本文可帮助你了解和解决域服务中具有安全 LDAP 访问的常见警报。
AADDS101:安全 LDAP 网络配置
警报消息
为托管域启用了通过 Internet 的安全 LDAP。 端口 636 的访问并没有被网络安全组锁定。 这可能会使托管域中的用户帐户面临密码暴力攻击。
决议
启用安全 LDAP 时,建议创建限制对特定 IP 地址的入站 LDAPS 访问的额外规则。 这些规则保护托管域免受暴力攻击。 若要更新网络安全组以限制安全 LDAP 的 TCP 端口 636 访问,请完成以下步骤:
- 在 Microsoft Entra 管理中心内,搜索并选择“网络安全组”。
- 选择与托管域关联的网络安全组,例如 AADDS-contoso.com-NSG,然后选择 入站安全规则
- 选择 “+ 添加 ”为 TCP 端口 636 创建规则。 如果需要,请在窗口中选择 “高级 ”以创建规则。
- 对于 源,请从下拉菜单中选择 IP 地址 。 输入要授予安全 LDAP 流量访问权限的源 IP 地址。
- 选择 “任意 ”作为 “目标”,然后输入 636 作为 目标端口范围。
- 将 协议 设置为 TCP ,并将 作 设置为 “允许”。
- 指定规则的优先级,然后输入一个名称,例如 RestrictLDAPS。
- 准备就绪后,选择“ 添加 ”以创建规则。
托管域的运行状况会在两小时内自动更新,并删除警报。
小窍门
TCP 端口 636 不是域服务顺利运行所需的唯一规则。 若要了解详细信息,请参阅 域服务网络安全组和所需端口。
AADDS502:安全 LDAP 证书过期
警报消息
托管域的安全 LDAP 证书将在 [date]] 过期。
决议
请按照步骤 创建安全 LDAP 证书 来生成替换的安全 LDAP 证书。 将替换证书应用于域服务,并将证书分发给使用安全 LDAP 进行连接的任何客户端。
后续步骤
如果仍有问题,请发起 Azure 支持请求以获得更多疑难解答帮助。