已知問題:Microsoft Entra網域服務中的安全 LDAP 警示

  • 發行項

使用輕量型目錄存取通訊協定的應用程式和服務 (LDAP) 可以設定為使用安全的 LDAP,以便與 Microsoft Entra Domain Services 通訊。 必須開啟適當的憑證和必要的網路連接埠,安全 LDAP 才能正常運作。

本文可協助您瞭解並解決網域服務中具有安全 LDAP 存取的常見警示。

AADDS101:安全的 LDAP 網路設定

警示訊息

受控網域已啟用透過網際網路的安全 LDAP。 不過,卻未使用網路安全性群組鎖定連接埠 636 的存取。 這可能會使受控網域上的使用者帳戶暴露於暴力密碼破解攻擊的威脅之下。

解決方法

當您啟用安全 LDAP 時,建議您建立額外的規則,以限制特定 IP 位址的輸入 LDAPS 存取。 這些規則可保護受控網域免於遭受暴力密碼破解攻擊。 若要更新網路安全性群組以限制安全 LDAP 的 TCP 通訊埠 636 存取,請完成下列步驟:

  1. Microsoft Entra系統管理中心中,搜尋並選取[網路安全性群組]。
  2. 選擇與受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG,然後選取 Inbound security rules
  3. 選取 [+ 新增] 以建立 TCP 通訊埠 636 的規則。 如有需要,請在視窗中選取 [進階] 以建立規則。
  4. 針對 [來源],從下拉式功能表中選擇 [IP 位址]。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
  5. 選擇 [任何] 作為 [目的地],然後針對 [目的地連接埠範圍] 輸入 [636]。
  6. 將 [通訊協定] 設定為 [TCP],並將 [動作] 設定為 [允許]。
  7. 指定規則的優先順序,然後輸入如 RestrictLDAPS 的名稱。
  8. 就緒時,選取 [新增] 以建立規則。

受控網域的健康情況會在兩小時內自動更新,並移除警示。

提示

TCP 埠 636 不是網域服務順利執行所需的唯一規則。 若要深入瞭解,請參閱 網域服務網路安全性群組和必要端口

AADDS502:安全 LDAP 憑證過期

警示訊息

受控網域的安全 LDAP 憑證將於 [date] 到期。

解決方法

請遵循 建立安全 LDAP 憑證 的步驟,建立取代安全 LDAP 憑證。 將取代憑證套用至網域服務,並將憑證散發至使用安全 LDAP 連線的任何用戶端。

下一步

如果您仍有問題,請開啟Azure 支援要求以取得更多疑難排解協助。