Problemas conhecidos: Alertas de LDAP Seguro no Microsoft Entra Domain Services

  • Artigo

Aplicativos e serviços que usam o LDAP (protocolo de acesso a diretório leve) para se comunicar com o Microsoft Entra Domain Services podem ser configurados para usar LDAP seguro. Um certificado apropriado e as portas de rede necessárias devem estar abertos para que o LDAP seguro funcione corretamente.

Este artigo ajuda você a entender e resolver alertas comuns com acesso LDAP seguro no Domain Services.

AADDS101: configuração de rede LDAP Seguro

Mensagem de alerta

LDAP Seguro pela internet está habilitado para o domínio gerenciado. No entanto, o acesso à porta 636 não é protegido usando um grupo de segurança de rede. Isso pode expor as contas de usuário no domínio gerenciado a ataques de força bruta da senha.

Resolução

Quando você habilita o LDAP seguro, é recomendável criar regras extras que restrinjam o acesso de LDAPS de entrada a endereços IP específicos. Essas regras protegem o domínio gerenciado contra ataques de força bruta. Para atualizar o grupo de segurança de rede para restringir o acesso à porta TCP 636 para LDAP seguro, conclua as seguintes etapas:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Grupos de segurança de rede.
  2. Escolha o grupo de segurança de rede associado ao domínio gerenciado, como AADDS-contoso.com-NSGe selecione Regras de segurança de entrada
  3. Selecione + Adicionar para criar uma regra para a porta TCP 636. Se necessário, selecione Avançado na janela para criar uma regra.
  4. Para a Origem, escolha endereços IP no menu suspenso. Insira os endereços IP de origem que você deseja conceder acesso para tráfego LDAP seguro.
  5. Escolha Qualquer como Destinoe, em seguida, insira 636 para os Intervalos de porta de destino.
  6. Defina o Protocolo como TCP e a Ação como Permitir.
  7. Especifique a prioridade para a regra e insira um nome como RestrictLDAPS.
  8. Quando estiver pronto, selecione Adicionar para criar a regra.

A integridade do domínio gerenciado é atualizada automaticamente dentro de duas horas e remove o alerta.

Dica

A porta TCP 636 não é a única regra necessária para que o Domain Services seja executado sem problemas. Para saber mais, confira os Grupos de segurança de rede e portas necessárias do Domain Services.

AADDS502: Expiração do certificado LDAP Seguro

Mensagem de alerta

O certificado LDAP seguro para o domínio gerenciado expirará em [data]].

Resolução

Crie um certificado substituto para LDAP Seguro seguindo as etapas para Criar um certificado para o LDAP Seguro. Aplique o certificado de substituição ao Domain Services e distribua o certificado a todos os clientes que se conectam usando LDAP seguro.

Próximas etapas

Se ainda tiver problemas, abra uma solicitação de suporte do Azure para obter mais ajuda de solução de problemas.