已知問題:Microsoft Entra Domain Services 中的安全 LDAP 警示

  • 發行項

使用輕量型目錄存取通訊協定 (LDAP) 與 Microsoft Entra Domain Services 通訊的應用程式和服務可以 設定為使用安全的 LDAP 。 必須開啟適當的憑證和必要的網路埠,安全 LDAP 才能正常運作。

本文可協助您瞭解並解決網域服務中使用安全 LDAP 存取的常見警示。

AADDS101:安全 LDAP 網路設定

警示訊息

已針對受控網域啟用透過網際網路的安全 LDAP。 不過,使用網路安全性群組不會鎖定對埠 636 的存取。 這可能會將受控網域上的使用者帳戶公開為密碼暴力密碼破解攻擊。

解決方法

當您啟用安全 LDAP 時,建議您建立額外的規則,以限制特定 IP 位址的輸入 LDAPS 存取。 這些規則會保護受控網域不受暴力密碼破解攻擊。 若要更新網路安全性群組以限制安全 LDAP 的 TCP 埠 636 存取,請完成下列步驟:

  1. Microsoft Entra 系統管理中心 中,搜尋並選取 [網路安全性群組 ]。
  2. 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG ,然後選取 [ 輸入安全性規則]
  3. 選取 [+ 新增 ] 以建立 TCP 埠 636 的規則。 如有需要,請在視窗中選取 [進階 ] 以建立規則。
  4. 針對 [ 來源 ],從下拉式功能表中選擇 [IP 位址 ]。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
  5. 選擇 [任何] 作為 [目的地 ],然後針對 [目的地埠範圍 ] 輸入 636
  6. 將 [ 通訊協定 ] 設定為 [TCP ],並將 [ 動作 ] 設定為 [ 允許 ]。
  7. 指定規則的優先順序,然後輸入例如 RestrictLDAPS 的名稱
  8. 準備好時,選取 [ 新增 ] 以建立規則。

受控網域的健康情況會在兩小時內自動更新自己,並移除警示。

提示

TCP 埠 636 並不是網域服務順利執行所需的唯一規則。 若要深入瞭解,請參閱 Domain Services 網路安全性群組和必要端口

AADDS502:安全 LDAP 憑證到期

警示訊息

受控網域的安全 LDAP 憑證將在 [日期] 到期。

解決方法

遵循建立安全 LDAP 憑證的步驟來 建立安全的 LDAP 憑證。 將取代憑證套用至 Domain Services,並將憑證散發給使用安全 LDAP 連線的任何用戶端。

下一步

如果您仍有問題, 請開啟Azure 支援要求 以取得更多疑難排解說明。