Známé problémy: Upozornění protokolu SECURE LDAP ve službě Microsoft Entra Domain Services

  • Článek

Aplikace a služby, které ke komunikaci se službou Microsoft Entra Domain Services používají protokol LDAP (Lightweight Directory Access Protocol), je možné nakonfigurovat tak, aby používaly zabezpečený protokol LDAP. Aby protokol LDAP správně fungoval, musí být otevřený odpovídající certifikát a požadované síťové porty.

Tento článek vám pomůže pochopit a vyřešit běžné výstrahy se zabezpečeným přístupem LDAP ve službě Domain Services.

AADDS101: Konfigurace sítě protokolu Secure LDAP

Zpráva s upozorněním

Protokol Secure LDAP přes internet je povolený pro spravovanou doménu. Přístup k portu 636 ale není uzamčen pomocí skupiny zabezpečení sítě. To může vystavit uživatelské účty ve spravované doméně útokům hrubou silou hesla.

Rozlišení

Pokud povolíte zabezpečený protokol LDAP, doporučujeme vytvořit další pravidla, která omezují příchozí přístup LDAPS na konkrétní IP adresy. Tato pravidla chrání spravovanou doménu před útoky hrubou silou. Chcete-li aktualizovat skupinu zabezpečení sítě tak, aby omezila přístup tcp portu 636 pro zabezpečený protokol LDAP, proveďte následující kroky:

  1. V Centru pro správu Microsoft Entra vyhledejte a vyberte skupiny zabezpečení sítě.
  2. Vyberte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například AADDS-contoso.com-NSG, a pak vyberte Příchozí pravidla zabezpečení.
  3. Vyberte + Přidat a vytvořte pravidlo pro port TCP 636. V případě potřeby vytvořte pravidlo výběrem možnosti Upřesnit v okně.
  4. Jako zdroj zvolte IP adresy z rozevírací nabídky. Zadejte zdrojové IP adresy, které chcete udělit přístup pro zabezpečený provoz PROTOKOLU LDAP.
  5. Jako cíl zvolte Libovolný a pak zadejte 636 pro rozsahy cílových portů.
  6. Nastavte protokol jako TCP a akci povolit.
  7. Zadejte prioritu pravidla a zadejte název, například RestrictLDAPS.
  8. Až budete připraveni, vyberte Přidat a vytvořte pravidlo.

Stav spravované domény se během dvou hodin automaticky aktualizuje a výstrahu odebere.

Tip

Port TCP 636 není jediným pravidlem potřebným pro hladké spuštění služby Domain Services. Další informace najdete ve skupinách zabezpečení sítě a požadovaných portech služby Domain Services.

AADDS502: Vypršení platnosti certifikátu protokolu LDAP

Zpráva s upozorněním

Platnost zabezpečeného certifikátu LDAP pro spravovanou doménu vyprší [datum]].

Rozlišení

Vytvořte náhradní zabezpečený certifikát LDAP podle kroků k vytvoření certifikátu pro zabezpečený protokol LDAP. Použijte náhradní certifikát ve službě Domain Services a distribuujte certifikát všem klientům, kteří se připojují pomocí protokolu SECURE LDAP.

Další kroky

Pokud stále máte problémy, otevřete podpora Azure žádost o další pomoc při řešení potíží.