已知問題:Microsoft Entra Domain Services 中的安全 LDAP 警示
使用輕量型目錄存取通訊協定 (LDAP) 與 Microsoft Entra Domain Services 通訊的應用程式和服務可以 設定為使用安全的 LDAP 。 必須開啟適當的憑證和必要的網路埠,安全 LDAP 才能正常運作。
本文可協助您瞭解並解決網域服務中使用安全 LDAP 存取的常見警示。
AADDS101:安全 LDAP 網路設定
警示訊息
已針對受控網域啟用透過網際網路的安全 LDAP。 不過,使用網路安全性群組不會鎖定對埠 636 的存取。 這可能會將受控網域上的使用者帳戶公開為密碼暴力密碼破解攻擊。
解決方法
當您啟用安全 LDAP 時,建議您建立額外的規則,以限制特定 IP 位址的輸入 LDAPS 存取。 這些規則會保護受控網域不受暴力密碼破解攻擊。 若要更新網路安全性群組以限制安全 LDAP 的 TCP 埠 636 存取,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心 中,搜尋並選取 [網路安全性群組 ]。
- 選擇與您的受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG ,然後選取 [ 輸入安全性規則]
- 選取 [+ 新增 ] 以建立 TCP 埠 636 的規則。 如有需要,請在視窗中選取 [進階 ] 以建立規則。
- 針對 [ 來源 ],從下拉式功能表中選擇 [IP 位址 ]。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
- 選擇 [任何] 作為 [目的地 ],然後針對 [目的地埠範圍 ] 輸入 636 。
- 將 [ 通訊協定 ] 設定為 [TCP ],並將 [ 動作 ] 設定為 [ 允許 ]。
- 指定規則的優先順序,然後輸入例如 RestrictLDAPS 的名稱 。
- 準備好時,選取 [ 新增 ] 以建立規則。
受控網域的健康情況會在兩小時內自動更新自己,並移除警示。
提示
TCP 埠 636 並不是網域服務順利執行所需的唯一規則。 若要深入瞭解,請參閱 Domain Services 網路安全性群組和必要端口 。
AADDS502:安全 LDAP 憑證到期
警示訊息
受控網域的安全 LDAP 憑證將在 [日期] 到期。
解決方法
遵循建立安全 LDAP 憑證的步驟來 建立安全的 LDAP 憑證。 將取代憑證套用至 Domain Services,並將憑證散發給使用安全 LDAP 連線的任何用戶端。
下一步
如果您仍有問題, 請開啟Azure 支援要求 以取得更多疑難排解說明。