可以使用轻型目录访问协议(LDAP)与 Microsoft Entra 域服务进行通信的应用程序和服务可配置 为使用安全 LDAP。 必须打开适当的证书和所需的网络端口,才能使安全 LDAP 正常工作。
本文可帮助你排查Microsoft Entra 域服务中安全 LDAP 访问的问题。
常见连接问题
如果在使用安全 LDAP 连接到 Microsoft Entra 域服务托管域时遇到问题,请查看以下故障排除步骤。 在每个故障排除步骤后,尝试再次连接到托管域:
- 安全 LDAP 证书的颁发者链必须在客户端上受信任。 可以将根证书颁发机构(CA)添加到客户端上的受信任根证书存储,以建立信任。
- 请确保 将证书导出并应用于客户端计算机。
- 验证托管域的安全 LDAP 证书是否具有 使用者 或 使用者可选名称 属性中的 DNS 名称。
- 查看 安全 LDAP 证书要求 ,并根据需要创建替换证书。
- 验证 LDAP 客户端(例如 ldp.exe 使用 DNS 名称而不是 IP 地址连接到安全 LDAP 终结点)。
- 应用于托管域的证书不包括服务的 IP 地址,仅包含 DNS 名称。
- 检查 LDAP 客户端连接到的 DNS 名称。 它必须解析为托管域中安全 LDAP 的公共 IP 地址。
- 如果 DNS 名称解析为内部 IP 地址,请更新 DNS 记录以解析为外部 IP 地址。
- 对于外部连接,网络安全组必须包含允许流量从 Internet 发到 TCP 端口 636 的规则。
- 如果可以使用安全 LDAP 从直接连接到虚拟网络的资源(但不是外部连接)连接到托管域,请确保创建网络安全组规则以允许安全 LDAP 通信。
后续步骤
如果仍有问题,请发起 Azure 支持请求以获得额外的疑难解答帮助。