Tutorial: Konfigurieren von Secure LDAP (LDAPS) für eine verwaltete Azure AD Domain Services-DomäneTutorial: Configure secure LDAP for an Azure Active Directory Domain Services managed domain

Zur Kommunikation mit Ihrer verwalteten Azure Active Directory Domain Services-Domäne (Azure AD DS) wird das Lightweight Directory Access Protocol (LDAP) verwendet.To communicate with your Azure Active Directory Domain Services (Azure AD DS) managed domain, the Lightweight Directory Access Protocol (LDAP) is used. LDAP-Datenverkehr ist standardmäßig nicht verschlüsselt – dies führt in vielen Umgebungen zu Bedenken hinsichtlich der Sicherheit.By default, the LDAP traffic isn't encrypted, which is a security concern for many environments. Mit Azure AD DS können Sie die verwaltete Domäne für die Verwendung des Secure Lightweight Directory Access Protocol (LDAPS) konfigurieren.With Azure AD DS, you can configure the managed domain to use secure Lightweight Directory Access Protocol (LDAPS). Bei Verwendung von Secure LDAP wird der Datenverkehr verschlüsselt.When you use secure LDAP, the traffic is encrypted. Secure LDAP ist auch bekannt als „LDAP über Secure Sockets Layer (SSL)/Transport Layer Security (TLS)“.Secure LDAP is also known as LDAP over Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

In diesem Tutorial wird gezeigt, wie Sie LDAPS für eine verwaltete Azure AD DS-Domäne konfigurieren.This tutorial shows you how to configure LDAPS for an Azure AD DS managed domain.

In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Erstellen eines digitalen Zertifikats für die Verwendung mit Azure AD DSCreate a digital certificate for use with Azure AD DS
  • Aktivieren von Secure LDAP für Azure AD DSEnable secure LDAP for Azure AD DS
  • Konfigurieren von Secure LDAP für die Verwendung aus dem öffentlichen InternetConfigure secure LDAP for use over the public internet
  • Binden und Testen von Secure LDAP für eine verwaltete Azure AD DS-DomäneBind and test secure LDAP for an Azure AD DS managed domain

Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto, bevor Sie beginnen.If you don’t have an Azure subscription, create an account before you begin.

VoraussetzungenPrerequisites

Für dieses Tutorial benötigen Sie die folgenden Ressourcen und Berechtigungen:To complete this tutorial, you need the following resources and privileges:

Melden Sie sich auf dem Azure-Portal an.Sign in to the Azure portal

In diesem Tutorial konfigurieren Sie Secure LDAP für die verwaltete Azure AD DS-Domäne über das Azure-Portal.In this tutorial, you configure secure LDAP for the Azure AD DS managed domain using the Azure portal. Melden Sie sich zunächst beim Azure-Portal an.To get started, first sign in to the Azure portal.

Erstellen eines Zertifikats für Secure LDAPCreate a certificate for secure LDAP

Bei Secure LDAP wird ein digitales Zertifikat zum Verschlüsseln der Kommunikation verwendet.To use secure LDAP, a digital certificate is used to encrypt the communication. Dieses digitale Zertifikat wird auf Ihre verwaltete Azure AD DS-Domäne angewendet und ermöglicht es Tools wie LDP.exe, beim Abfragen von Daten eine sichere, verschlüsselte Kommunikation zu verwenden.This digital certificate is applied to your Azure AD DS managed domain, and lets tools like LDP.exe use secure encrypted communication when querying data. Es gibt zwei Möglichkeiten, um ein Zertifikat für den Zugriff auf die verwaltete Domäne über Secure LDAP zu erstellen:There are two ways to create a certificate for secure LDAP access to the managed domain:

  • Ein Zertifikat von einer öffentlichen Zertifizierungsstelle oder einer Unternehmenszertifizierungsstelle.A certificate from a public certificate authority (CA) or an enterprise CA.
    • Wenn Ihre Organisation Zertifikate von einer öffentlichen Zertifizierungsstelle erhält, fordern Sie das Zertifikat für Secure LDAP bei dieser öffentlichen Zertifizierungsstelle an.If your organization gets certificates from a public CA, get the secure LDAP certificate from that public CA. Wenn Sie eine Unternehmenszertifizierungsstelle verwenden, fordern Sie das Zertifikat für Secure LDAP bei der Unternehmenszertifizierungsstelle an.If you use an enterprise CA in your organization, get the secure LDAP certificate from the enterprise CA.
    • Eine öffentliche Zertifizierungsstelle funktioniert nur, wenn Sie einen benutzerdefinierten DNS-Namen in Ihrer verwalteten Azure AD DS-Domäne verwenden.A public CA only works when you use a custom DNS name with your Azure AD DS managed domain. Wenn der DNS-Domänenname Ihrer verwalteten Domäne auf .onmicrosoft.com endet, können Sie kein digitales Zertifikat erstellen, um Verbindungen mit dieser Standarddomäne zu sichern.If the DNS domain name of your managed domain ends in .onmicrosoft.com, you can't create a digital certificate to secure the connection with this default domain. Die Domäne .onmicrosoft.com ist im Besitz von Microsoft, daher stellt keine öffentliche Zertifizierungsstelle ein Zertifikat aus.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Erstellen Sie in diesem Szenario ein selbstsigniertes Zertifikat, und verwenden Sie es, um sicheres LDAP zu konfigurieren.In this scenario, create a self-signed certificate and use that to configure secure LDAP.
  • Ein selbstsigniertes Zertifikat, das Sie selbst erstellen.A self-signed certificate that you create yourself.
    • Diese Methode eignet sich gut für Testzwecke und wird in diesem Tutorial vorgestellt.This approach is good for testing purposes, and is what this tutorial shows.

Das Zertifikat, das Sie anfordern oder erstellen, muss die folgenden Anforderungen erfüllen.The certificate you request or create must meet the following requirements. In Ihrer verwalteten Domäne treten Probleme auf, wenn Sie Secure LDAP mit einem ungültigen Zertifikat aktivieren:Your managed domain encounters problems if you enable secure LDAP with an invalid certificate:

  • Vertrauenswürdiger Aussteller: Das Zertifikat muss von einer Zertifizierungsstelle ausgestellt sein, der die Computer vertrauen, die über sicheres LDAP eine Verbindung mit der Domäne herstellen.Trusted issuer - The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Hierbei kann es sich um eine öffentliche Zertifizierungsstelle oder um eine Unternehmenszertifizierungsstelle handeln, die von diesen Computern als vertrauenswürdig eingestuft wird.This authority may be a public CA or an Enterprise CA trusted by these computers.
  • Lebensdauer : Das Zertifikat muss mindestens für die nächsten 3 bis 6 Monate gültig sein.Lifetime - The certificate must be valid for at least the next 3-6 months. Der Zugriff auf Ihre verwaltete Domäne über sicheres LDAP wird unterbrochen, wenn das Zertifikat abläuft.Secure LDAP access to your managed domain is disrupted when the certificate expires.
  • Antragstellername: Der Name des Antragstellers im Zertifikat muss Ihre verwaltete Domäne sein.Subject name - The subject name on the certificate must be your managed domain. Wenn Ihre Domäne z. B. contoso.com heißt, muss als Antragstellername im Zertifikat *.contoso.com angegeben sein.For instance, if your domain is named contoso.com, the certificate's subject name must be *.contoso.com.
    • Der DNS-Name oder alternative Antragstellername des Zertifikats muss ein Platzhalterzertifikat sein, um sicherzustellen, dass Secure LDAP ordnungsgemäß mit den Azure AD Domain Services funktioniert.The DNS name or subject alternate name of the certificate must be a wildcard certificate to ensure the secure LDAP works properly with the Azure AD Domain Services. Domänencontroller verwenden zufällig vergebene Namen und können entfernt oder hinzugefügt werden, um sicherzustellen, dass der Dienst verfügbar bleibt.Domain Controllers use random names and can be removed or added to ensure the service remains available.
  • Schlüsselverwendung: Das Zertifikat muss für digitale Signaturen und Schlüsselverschlüsselung konfiguriert sein.Key usage - The certificate must be configured for digital signatures and key encipherment.
  • Zertifikatzweck : Das Zertifikat muss für die SSL-Serverauthentifizierung gültig sein.Certificate purpose - The certificate must be valid for SSL server authentication.

In diesem Zertifikat erstellen Sie in PowerShell ein selbstsigniertes Zertifikat für Secure LDAP.In this tutorial, let's create a self-signed certificate for secure LDAP using PowerShell. Öffnen Sie ein PowerShell-Fenster als Administrator, und führen Sie die folgenden Befehle aus.Open a PowerShell window as Administrator and run the following commands. Ersetzen Sie die Variable $dnsName durch den DNS-Namen, der von Ihrer verwalteten Domäne verwendet wird, z. B. contoso.com:Replace the $dnsName variable with the DNS name used by your own managed domain, such as contoso.com:

# Define your own DNS name used by your Azure AD DS managed domain
$dnsName="contoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Die folgende Beispielausgabe zeigt, dass das Zertifikat erfolgreich generiert wurde und im lokalen Zertifikatspeicher (LocalMachine\MY) gespeichert wird:The following example output shows that the certificate was successfully generated and is stored in the local certificate store (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=contoso.com

Verstehen und Exportieren von erforderlichen ZertifikatenUnderstand and export required certificates

Zur Verwendung von Secure LDAP wird der Netzwerkdatenverkehr mithilfe einer Public Key-Infrastruktur (PKI) verschlüsselt.To use secure LDAP, the network traffic is encrypted using public key infrastructure (PKI).

  • Ein privater Schlüssel wird auf die verwaltete Azure AD DS-Domäne angewendet.A private key is applied to the Azure AD DS managed domain.
    • Mit diesem privaten Schlüssel wird der Datenverkehr über Secure LDAP entschlüsselt.This private key is used to decrypt the secure LDAP traffic. Der private Schlüssel sollte nur auf die verwaltete Azure AD DS-Domäne angewendet und nicht auf Clientcomputer verteilt werden.The private key should only be applied to the Azure AD DS managed domain and not widely distributed to client computers.
    • Ein Zertifikat, das den privaten Schlüssel enthält, verwendet das Dateiformat PFX.A certificate that includes the private key uses the .PFX file format.
  • Ein öffentlicher Schlüssel wird auf die Clientcomputer angewendet.A public key is applied to the client computers.
    • Mit diesem öffentlichen Schlüssel wird der Datenverkehr über Secure LDAP verschlüsselt.This public key is used to encrypt the secure LDAP traffic. Der öffentliche Schlüssel kann auf Clientcomputer verteilt werden.The public key can be distributed to client computers.
    • Zertifikate ohne privaten Schlüssel verwenden das Dateiformat CER.Certificates without the private key use the .CER file format.

Diese beiden Schlüssel, der private und der öffentliche, stellen sicher, dass nur geeignete Computer erfolgreich miteinander kommunizieren können.These two keys, the private and public keys, make sure that only the appropriate computers can successfully communicate with each other. Wenn Sie eine öffentliche Zertifizierungsstelle oder eine Unternehmenszertifizierungsstelle verwenden, wird Ihnen ein Zertifikat ausgestellt, das den privaten Schlüssel enthält und auf eine verwaltete Azure AD DS-Domäne angewendet werden kann.If you use a public CA or enterprise CA, you are issued with a certificate that includes the private key and can be applied to an Azure AD DS managed domain. Der öffentliche Schlüssel sollte den Clientcomputern bereits bekannt sein und von diesen als vertrauenswürdig eingestuft werden.The public key should already be known and trusted by client computers. In diesen Tutorial haben Sie ein selbstsigniertes Zertifikat mit dem privaten Schlüssel erstellt, daher müssen Sie die entsprechenden privaten und öffentlichen Komponenten exportieren.In this tutorial, you created a self-signed certificate with the private key, so you need to export the appropriate private and public components.

Exportieren eines Zertifikats für Azure AD DSExport a certificate for Azure AD DS

Bevor Sie das im vorherigen Schritt erstellte digitale Zertifikat in Ihrer verwalteten Azure AD DS-Domäne verwenden können, müssen Sie das Zertifikat in eine PFX-Zertifikatdatei exportieren, die den privaten Schlüssel enthält.Before you can use the digital certificate created in the previous step with your Azure AD DS managed domain, export the certificate to a .PFX certificate file that includes the private key.

  1. Um das Dialogfeld Ausführen zu öffnen, drücken Sie die Windows-Taste und die Taste R.To open the Run dialog, select the Windows and R keys.

  2. Öffnen Sie eine Microsoft Management Console (MMC), indem Sie im Dialogfeld Ausführen die Zeichenfolge mmc eingeben und auf OK klicken.Open the Microsoft Management Console (MMC) by entering mmc in the Run dialog, then select OK.

  3. Klicken Sie an der Eingabeaufforderung der Benutzerkontensteuerung auf Ja, um die MMC als Administrator zu starten.On the User Account Control prompt, click Yes to launch MMC as administrator.

  4. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.From the File menu, click Add/Remove Snap-in...

  5. Wählen Sie im Assistenten für das Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.In the Certificates snap-in wizard, choose Computer account, then select Next.

  6. Wählen Sie auf der Seite Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie auf Fertig stellen.On the Select Computer page, choose Local computer: (the computer this console is running on), then select Finish.

  7. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf OK, um der MMC das Zertifikat-Snap-In hinzuzufügen.In the Add or Remove Snap-ins dialog, click OK to add the certificates snap-in to MMC.

  8. Erweitern Sie im MMC-Fenster den Konsolenstamm.In the MMC window, expand Console Root. Wählen Sie Zertifikate (Lokaler Computer) aus, und erweitern Sie nacheinander die Knoten Eigene Zertifikate und Zertifikate.Select Certificates (Local Computer), then expand the Personal node, followed by the Certificates node.

    Öffnen des Speichers mit eigenen Zertifikaten in der Microsoft Management Console

  9. Das im vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt (z. B. contoso.com).The self-signed certificate created in the previous step is shown, such as contoso.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und wählen Sie Alle Aufgaben > Exportieren... aus.Right-select this certificate, then choose All Tasks > Export...

    Exportieren eines Zertifikats in der Microsoft Management Console

  10. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.In the Certificate Export Wizard, select Next.

  11. Der private Schlüssel für das Zertifikat muss exportiert werden.The private key for the certificate must be exported. Wenn der private Schlüssel nicht im exportierten Zertifikat enthalten ist, tritt bei der Aktion zum Aktivieren von Secure LDAP für Ihre verwaltete Domäne ein Fehler auf.If the private key is not included in the exported certificate, the action to enable secure LDAP for your managed domain fails.

    Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.On the Export Private Key page, choose Yes, export the private key, then select Next.

  12. Verwaltete Azure AD DS-Domänen unterstützen nur das Zertifikatdateiformat PFX, das den privaten Schlüssel enthält.Azure AD DS managed domains only support the .PFX certificate file format that includes the private key. Exportieren Sie das Zertifikat nicht im Dateiformat CER ohne den privaten Schlüssel.Don't export the certificate as .CER certificate file format without the private key.

    Wählen Sie auf der Seite Format der zu exportierenden Datei als Dateiformat für das zu exportierende Zertifikat die Option Privater Informationsaustausch – PKCS #12 (.PFX) aus.On the Export File Format page, select Personal Information Exchange - PKCS #12 (.PFX) as the file format for the exported certificate. Aktivieren Sie das Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen:Check the box for Include all certificates in the certification path if possible:

    Auswählen der Option zum Exportieren des Zertifikats im PKCS 12-Dateiformat (PFX)

  13. Da dieses Zertifikat zum Entschlüsseln von Daten verwendet wird, sollten Sie den Zugriff sorgfältig steuern.As this certificate is used to decrypt data, you should carefully control access. Zum Schutz des Zertifikats kann ein Kennwort verwendet werden.A password can be used to protect the use of the certificate. Ohne das richtige Kennwort kann das Zertifikat nicht auf einen Dienst angewendet werden.Without the correct password, the certificate can't be applied to a service.

    Wählen Sie auf der Seite Sicherheit die Option Kennwort aus, um die PFX-Zertifikatdatei zu schützen.On the Security page, choose the option for Password to protect the .PFX certificate file. Geben Sie ein Kennwort ein, bestätigen Sie es, und klicken Sie auf Weiter.Enter and confirm a password, then select Next. Dieses Kennwort wird im nächsten Abschnitt zum Aktivieren von Secure LDAP für Ihre verwaltete Azure AD DS-Domäne verwendet.This password is used in the next section to enable secure LDAP for your Azure AD DS managed domain.

  14. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen und den Speicherort für den Export des Zertifikats an, z. B. C:\Benutzer\Kontoname\azure-ad-ds.pfx.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds.pfx.

  15. Klicken Sie auf der Überprüfungsseite auf Fertig stellen, um das Zertifikat in eine PFX-Zertifikatdatei zu exportieren.On the review page, select Finish to export the certificate to a .PFX certificate file. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialogfeld angezeigt.A confirmation dialog is displayed when the certificate has been successfully exported.

  16. Lassen Sie die MMC für den nächsten Abschnitt geöffnet.Leave the MMC open for use in the following section.

Exportieren eines Zertifikats für ClientcomputerExport a certificate for client computers

Clientcomputer müssen dem Aussteller des Secure LDAP-Zertifikats vertrauen, damit die Verbindung mit der verwalteten Domäne über LDAPS erfolgreich hergestellt werden kann.Client computers must trust the issuer of the secure LDAP certificate to be able to connect successfully to the managed domain using LDAPS. Die Clientcomputer benötigen ein Zertifikat, um Daten, die von Azure AD DS verschlüsselt wurden, erfolgreich zu entschlüsseln.The client computers need a certificate to successfully encrypt data that is decrypted by Azure AD DS. Wenn Sie eine öffentliche Zertifizierungsstelle verwenden, muss der Computer diesen Zertifikatausstellern automatisch vertrauen und über ein entsprechendes Zertifikat verfügen.If you use a public CA, the computer should automatically trust these certificate issuers and have a corresponding certificate. In diesem Tutorial verwenden Sie ein selbstsigniertes Zertifikat. Im vorherigen Schritt haben Sie ein Zertifikat generiert, das den privaten Schlüssel enthält.In this tutorial you use a self-signed certificate, and generated a certificate that includes the private key in the previous step. Jetzt exportieren Sie das selbstsignierte Zertifikat und installieren es dann im Speicher für vertrauenswürdige Zertifikate auf den Clientcomputern:Now let's export and then install the self-signed certificate into the trusted certificate store on the client computer:

  1. Navigieren Sie in der MMC zurück zu Zertifikate (Lokaler Computer) > Eigene Zertifikate > Zertifikate.Go back to the MMC for Certificates (Local Computer) > Personal > Certificates store. Das in einem vorherigen Schritt erstellte selbstsignierte Zertifikat wird angezeigt (z. B. contoso.com).The self-signed certificate created in a previous step is shown, such as contoso.com. Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und wählen Sie Alle Aufgaben > Exportieren... aus.Right-select this certificate, then choose All Tasks > Export...

  2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter.In the Certificate Export Wizard, select Next.

  3. Da Sie den privaten Schlüssel für Clients nicht benötigen, wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren aus und klicken dann auf Weiter.As you don't need the private key for clients, on the Export Private Key page choose No, do not export the private key, then select Next.

  4. Wählen Sie auf der Seite Format der zu exportierenden Datei als Dateiformat für das exportierte Zertifikat die Option Base-64-codiert X.509 (.CER) aus:On the Export File Format page, select Base-64 encoded X.509 (.CER) as the file format for the exported certificate:

    Auswählen der Option zum Exportieren des Zertifikats im Dateiformat „Base-64-codiert X.509 (.CER)“

  5. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen und den Speicherort für den Export des Zertifikats an, z. B. C:\Benutzer\Kontoname\azure-ad-ds-client.cer.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds-client.cer.

  6. Klicken Sie auf der Überprüfungsseite auf Fertig stellen, um das Zertifikat in eine CER-Zertifikatdatei zu exportieren.On the review page, select Finish to export the certificate to a .CER certificate file. Wenn das Zertifikat erfolgreich exportiert wurde, wird ein Bestätigungsdialogfeld angezeigt.A confirmation dialog is displayed when the certificate has been successfully exported.

Die CER-Zertifikatdatei kann jetzt auf Clientcomputer verteilt werden, die der Secure LDAP-Verbindung mit der verwalteten Azure AD DS-Domäne vertrauen müssen.The .CER certificate file can now be distributed to client computers that need to trust the secure LDAP connection to the Azure AD DS managed domain. Installieren Sie das Zertifikat jetzt auf dem lokalen Computer.Let's install the certificate on the local computer.

  1. Öffnen Sie den Datei-Explorer, und navigieren Sie zu dem Speicherort, an dem Sie die CER-Zertifikatdatei gespeichert haben, z. B. C:\Benutzer\Kontoname\azure-ad-ds-client.cer.Open File Explorer and browse to the location where you saved the .CER certificate file, such as C:\Users\accountname\azure-ad-ds-client.cer.

  2. Klicken Sie mit der Maustaste auf die CER-Zertifikatdatei, und wählen Sie Zertifikat installieren aus.Right-select the .CER certificate file, then choose Install Certificate.

  3. Wählen Sie im Zertifikatimport-Assistenten die Option Lokaler Computer zum Speichern des Zertifikats aus, und klicken Sie dann auf Weiter:In the Certificate Import Wizard, choose to store the certificate in the Local machine, then select Next:

    Auswählen der Option zum Importieren des Zertifikats in den Speicher des lokalen Computers

  4. Klicken Sie bei der entsprechenden Aufforderung auf Ja, um dem Computer das Vornehmen von Änderungen zu gestatten.When prompted, choose Yes to allow the computer to make changes.

  5. Wählen Sie die Option Zertifikatspeicher automatisch auswählen (auf dem Zertifikattyp basierend) aus, und klicken Sie dann auf Weiter.Choose to Automatically select the certificate store based on the type of certificate, then select Next.

  6. Klicken Sie auf der Überprüfungsseite auf Fertig stellen, um die CER-Zertifikatdatei zu importieren.On the review page, select Finish to import the .CER certificate. Wenn das Zertifikat erfolgreich importiert wurde, wird ein Bestätigungsdialogfeld angezeigt.file A confirmation dialog is displayed when the certificate has been successfully imported.

Aktivieren von Secure LDAP für Azure AD DSEnable secure LDAP for Azure AD DS

Sie haben ein digitales Zertifikat erstellt und exportiert, das den privaten Schlüssel enthält, und Sie haben den Clientcomputer so eingerichtet, dass er der Verbindung vertraut. Nun aktivieren Sie Secure LDAP in Ihrer verwalteten Azure AD DS-Domäne.With a digital certificate created and exported that includes the private key, and the client computer set to trust the connection, now enable secure LDAP on your Azure AD DS managed domain. Führen Sie die folgenden Konfigurationsschritte aus, um Secure LDAP in einer verwalteten Azure AD DS-Domäne zu aktivieren:To enable secure LDAP on an Azure AD DS managed domain, perform the following configuration steps:

  1. Suchen Sie im Azure-Portal im Feld Ressourcen suchen nach Domänendienste.In the Azure portal, search for domain services in the Search resources box. Wählen Sie aus dem Suchergebnis Azure AD Domain Services aus.Select Azure AD Domain Services from the search result.

    Suchen und Auswählen der verwalteten Azure AD DS-Domäne im Azure-Portal

  2. Wählen Sie Ihre verwaltete Domäne aus, z. B. contoso.com.Choose your managed domain, such as contoso.com.

  3. Wählen Sie auf der linken Seite des Azure AD DS-Fensters die Option Secure LDAP aus.On the left-hand side of the Azure AD DS window, choose Secure LDAP.

  4. Standardmäßig ist der sichere LDAP-Zugriff auf Ihre verwaltete Domäne deaktiviert.By default, secure LDAP access to your managed domain is disabled. Ändern Sie die Einstellung für Secure LDAP in Aktivieren.Toggle Secure LDAP to Enable.

  5. Der Secure LDAP-Zugriff auf Ihre verwaltete Domäne über das Internet ist standardmäßig deaktiviert.Secure LDAP access to your managed domain over the internet is disabled by default. Wenn Sie den öffentlichen Secure LDAP-Zugriff aktivieren, ist Ihre Domäne anfällig für Brute-Force-Kennwortangriffe aus dem Internet.When you enable public secure LDAP access, your domain is susceptible to password brute force attacks over the internet. Im nächsten Schritt konfigurieren Sie eine Netzwerksicherheitsgruppe, um den Zugriff auf die erforderlichen IP-Quelladressbereiche zu beschränken.In the next step, a network security group is configured to lock down access to only the required source IP address ranges.

    Ändern Sie die Einstellung für Sicheren LDAP-Zugriff über das Internet aktivieren in Aktivieren.Toggle Allow secure LDAP access over the internet to Enable.

  6. Klicken Sie auf das Ordnersymbol neben der PFX-Datei mit Secure LDAP-Zertifikat.Select the folder icon next to .PFX file with secure LDAP certificate. Navigieren Sie zum Pfad der PFX-Datei, und wählen Sie das in einem vorherigen Schritt erstellte Zertifikat aus, das den privaten Schlüssel enthält.Browse to the path of the .PFX file, then select the certificate created in a previous step that includes the private key.

    Wie oben im Abschnitt mit den Zertifikatanforderungen erwähnt, können Sie mit der standardmäßigen Domäne .onmicrosoft.com kein Zertifikat von einer öffentlichen Zertifizierungsstelle verwenden.As noted in the previous section on certificate requirements, you can't use a certificate from a public CA with the default .onmicrosoft.com domain. Die Domäne .onmicrosoft.com ist im Besitz von Microsoft, daher stellt keine öffentliche Zertifizierungsstelle ein Zertifikat aus.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Stellen Sie sicher, dass Ihr Zertifikat im geeigneten Format vorliegt.Make sure your certificate is in the appropriate format. Andernfalls generiert die Azure-Plattform Zertifikatüberprüfungsfehler, wenn Sie Secure LDAP aktivieren.If it's not, the Azure platform generates certificate validation errors when you enable secure LDAP.

  7. Geben Sie das Kennwort zum Entschlüsseln der PFX-Datei ein, das Sie in einem vorherigen Schritt beim Exportieren des Zertifikats in eine PFX-Datei festgelegt haben.Enter the Password to decrypt .PFX file set in a previous step when the certificate was exported to a .PFX file.

  8. Klicken Sie auf Speichern, um Secure LDAP zu aktivieren.Select Save to enable secure LDAP.

    Aktivieren von Secure LDAP für eine verwaltete Azure AD DS-Domäne im Azure-Portal

Sie werden in einer Benachrichtigung darüber informiert, dass Secure LDAP für die verwaltete Domäne konfiguriert wird.A notification is displayed that secure LDAP is being configured for the managed domain. Solange dieser Vorgang nicht abgeschlossen ist, können Sie keine anderen Einstellungen für die verwaltete Domäne ändern.You can't modify other settings for the managed domain until this operation is complete.

Es dauert einige Minuten, bis Secure LDAP für Ihre verwaltete Domäne aktiviert ist.It takes a few minutes to enable secure LDAP for your managed domain. Wenn das von Ihnen bereitgestellte Secure LDAP-Zertifikat die erforderlichen Kriterien nicht erfüllt, tritt beim Aktivieren von Secure LDAP für die verwaltete Domäne ein Fehler auf.If the secure LDAP certificate you provide doesn't match the required criteria, the action to enable secure LDAP for the managed domain fails. Häufige Gründe für Fehler sind: Der Domänenname ist falsch, oder das Zertifikat läuft bald ab oder ist bereits abgelaufen.Some common reasons for failure are if the domain name is incorrect, or the certificate expires soon or has already expired. Sie können das Zertifikat mit gültigen Parametern erneut erstellen und dann Secure LDAP mit diesem aktualisierten Zertifikat aktivieren.You can re-create the certificate with valid parameters, then enable secure LDAP using this updated certificate.

Beschränken des Secure LDAP-Zugriffs über das InternetLock down secure LDAP access over the internet

Wenn Sie Secure LDAP-Zugriff auf Ihre verwaltete Azure AD DS-Domäne über das Internet zulassen, entsteht ein Sicherheitsrisiko.When you enable secure LDAP access over the internet to your Azure AD DS managed domain, it creates a security threat. Auf die verwaltete Domäne kann aus dem Internet über TCP-Port 636 zugegriffen werden.The managed domain is reachable from the internet on TCP port 636. Es empfiehlt sich, den Zugriff auf die verwaltete Domäne auf bestimmte bekannte IP-Adressen für Ihre Umgebung zu beschränken.It's recommended to restrict access to the managed domain to specific known IP addresses for your environment. Zum Beschränken des Zugriffs auf Secure LDAP kann eine Azure-Netzwerksicherheitsgruppen-Regel verwendet werden.An Azure network security group rule can be used to limit access to secure LDAP.

Erstellen Sie jetzt eine Regel, um eingehenden Secure LDAP-Zugriff über TCP-Port 636 nur für eine angegebene Gruppe von IP-Adressen zuzulassen.Let's create a rule to allow inbound secure LDAP access over TCP port 636 from a specified set of IP addresses. Auf den gesamten restlichen eingehenden Datenverkehr aus dem Internet wird eine standardmäßige DenyAll-Regel mit niedrigerer Priorität angewendet, sodass nur die angegebenen Adressen Ihre verwaltete Azure AD DS-Domäne über Secure LDAP erreichen können.A default DenyAll rule with a lower priority applies to all other inbound traffic from the internet, so only the specified addresses can reach your Azure AD DS managed domain using secure LDAP.

  1. Wählen Sie im Azure-Portal im linken Navigationsbereich Ressourcengruppen aus.In the Azure portal, select Resource groups on the left-hand side navigation.

  2. Wählen Sie Ihre Ressourcengruppe (z. B. myResourceGroup) und Ihre Netzwerksicherheitsgruppe (z. B. AADDS-contoso.com-NSG) aus.Choose you resource group, such as myResourceGroup, then select your network security group, such as AADDS-contoso.com-NSG.

  3. Die Liste der vorhandenen Sicherheitsregeln für eingehenden und ausgehenden Datenverkehr wird angezeigt.The list of existing inbound and outbound security rules are displayed. Wählen Sie auf der linken Seite des Fensters „Netzwerksicherheitsgruppe“ die Optionen Sicherheit > Eingangssicherheitsregeln aus.On the left-hand side of the network security group windows, choose Security > Inbound security rules.

  4. Klicken Sie auf Hinzufügen, und erstellen Sie eine Regel zum Zulassen von TCP-Port 636.Select Add, then create a rule to allow TCP port 636. Wählen Sie zur Verbesserung der Sicherheit IP-Adressen als Quelle aus, und geben Sie die eigene gültige IP-Adresse oder den eigenen gültigen IP-Adressbereich für Ihre Organisation an.For improved security, choose the source as IP Addresses and then specify your own valid IP address or range for your organization.

    EinstellungSetting WertValue
    SourceSource IP-AdressenIP Addresses
    IP-Quelladressen/CIDR-BereicheSource IP addresses / CIDR ranges Eine gültige IP-Adresse oder ein gültiger IP-Adressbereich für Ihre UmgebungA valid IP address or range for your environment
    Source port rangesSource port ranges *
    DestinationDestination AnyAny
    ZielportbereicheDestination port ranges 636636
    ProtocolProtocol TCPTCP
    AktionAction ZULASSENAllow
    PriorityPriority 401401
    NAMEName AllowLDAPSAllowLDAPS
  5. Wenn Sie fertig sind, klicken Sie auf Hinzufügen, um die Regel zu speichern und anzuwenden.When ready, select Add to save and apply the rule.

    Erstellen einer Netzwerksicherheitsgruppen-Regel für den Secure LDAP-Zugriff über das Internet

Konfigurieren einer DNS-Zone für den externen ZugriffConfigure DNS zone for external access

Wenn der Secure LDAP-Zugriff über das Internet aktiviert wurde, aktualisieren Sie die DNS-Zone, damit die Clientcomputer die verwaltete Domäne finden können.With secure LDAP access enabled over the internet, update the DNS zone so that client computers can find this managed domain. Die Externe Secure LDAP-IP-Adresse wird auf der Registerkarte Eigenschaften für Ihre verwaltete Azure AD DS-Domäne aufgeführt:The Secure LDAP external IP address is listed on the Properties tab for your Azure AD DS managed domain:

Anzeigen der externen Secure LDAP-IP-Adresse für Ihre verwaltete Azure AD DS-Domäne im Azure-Portal

Konfigurieren Sie Ihren externen DNS-Anbieter, und erstellen Sie einen Hosteintrag wie z. B. ldaps, um diesen in diese externe IP-Adresse aufzulösen.Configure your external DNS provider to create a host record, such as ldaps, to resolve to this external IP address. Um dieses Szenario zuerst auf Ihrem Computer zu testen, können Sie einen Eintrag in der Windows-Datei „hosts“ erstellen.To test locally on your machine first, you can create an entry in the Windows hosts file. Zum Bearbeiten der Datei „hosts“ auf Ihrem lokalen Computer öffnen Sie den Editor als Administrator. Dort öffnen Sie die hosts-Datei im Ordner C:\Windows\System32\drivers\etc.To successfully edit the hosts file on your local machine, open Notepad as an administrator, then open the file C:\Windows\System32\drivers\etc

Der folgende DNS-Beispieleintrag – der von Ihrem externen DNS-Anbieter stammen oder sich in der lokalen hosts-Datei befinden kann – löst Datenverkehr für ldaps.contoso.com in die externe IP-Adresse 40.121.19.239 auf:The following example DNS entry, either with your external DNS provider or in the local hosts file, resolves traffic for ldaps.contoso.com to the external IP address of 40.121.19.239:

40.121.19.239    ldaps.contoso.com

Testen von Abfragen in der verwalteten DomäneTest queries to the managed domain

Zum Herstellen von Verbindungen und Bindungen mit Ihrer verwalteten Azure AD DS-Domäne sowie für Suchvorgänge über LDAP verwenden Sie das Tool LDP.exe.To connect and bind to your Azure AD DS managed domain and search over LDAP, you use the LDP.exe too. Dieses Tool ist im RSAT-Paket (Remote Server Administration Tools, Remoteserver-Verwaltungstools) enthalten.This tool is included in the Remote Server Administration Tools (RSAT) package. Weitere Informationen finden Sie unter Installieren der Remoteserver-Verwaltungstools.For more information, see install Remote Server Administration Tools.

  1. Öffnen Sie LDP.exe, und stellen Sie eine Verbindung mit der verwalteten Domäne her.Open LDP.exe and connect to the managed domain. Wählen Sie Verbindung und dann Verbinden... aus.Select Connection, then choose Connect....
  2. Geben Sie den DNS-Domänennamen Ihrer verwalteten Domäne für Secure LDAP ein, den Sie im vorherigen Schritt erstellt haben, z. B. ldaps.contoso.com.Enter the secure LDAP DNS domain name of your managed domain created in the previous step, such as ldaps.contoso.com. Um Secure LDAP zu verwenden, legen Sie den Port auf 636 fest und aktivieren das Kontrollkästchen für SSL.To use secure LDAP, set Port to 636, then check the box for SSL.
  3. Klicken Sie auf OK, um eine Verbindung mit der verwalteten Domäne herzustellen.Select OK to connect to the managed domain.

Als Nächstes erstellen Sie eine Bindung mit Ihrer verwalteten Azure AD DS-Domäne.Next, bind to your Azure AD DS managed domain. Benutzer (und Dienstkonten) können keine einfachen LDAP-Bindungen ausführen, wenn Sie die Synchronisierung von NTLM-Kennworthashes für Ihre Azure AD DS-Instanz deaktiviert haben.Users (and service accounts) can't perform LDAP simple binds if you have disabled NTLM password hash synchronization on your Azure AD DS instance. Weitere Informationen zum Deaktivieren der Synchronisierung von NTLM-Kennworthashes finden Sie unter Schützen Ihrer verwalteten Azure AD DS-Domäne.For more information on disabling NTLM password hash synchronization, see Secure your Azure AD DS managed domain.

  1. Wählen Sie die Menüoption Verbindung und dann die Option Binden... aus.Select the Connection menu option, then choose Bind....
  2. Geben Sie die Anmeldeinformationen eines Benutzerkontos an, das zur Gruppe AAD DC-Administratoren gehört, z. B. contosoadmin.Provide the credentials of a user account belonging to the AAD DC Administrators group, such as contosoadmin. Geben Sie das Kennwort des Benutzerkontos und dann Ihre Domäne ein, z. B. contoso.com.Enter the user account's password, then enter your domain, such as contoso.com.
  3. Wählen Sie als Bindungstyp die Option Bindung mit Anmeldeinformationen aus.For Bind type, choose the option for Bind with credentials.
  4. Klicken Sie auf OK, um die Bindung mit Ihrer verwalteten Azure AD DS-Domäne herzustellen.Select OK to bind to your Azure AD DS managed domain.

So zeigen Sie die Objekte an, die in Ihrer verwalteten Azure AD DS-Domäne gespeichert sind:To see of the objects stored in your Azure AD DS managed domain:

  1. Wählen Sie die Menüoption Ansicht aus, und klicken Sie dann auf Struktur.Select the View menu option, and then choose Tree.

  2. Lassen Sie das Feld BaseDN leer, und klicken Sie auf OK.Leave the BaseDN field blank, then select OK.

  3. Wählen Sie einen Container aus, z. B. AADDC Users, klicken Sie mit der rechten Maustaste auf den Container, und wählen Sie Suchen aus.Choose a container, such as AADDC Users, then right-select the container and choose Search.

  4. Lassen Sie die vorab ausgefüllten Felder unverändert, und klicken Sie auf Ausführen.Leave the pre-populated fields set, then select Run. Die Ergebnisse der Abfrage werden im rechten Fenster angezeigt.The results of the query are shown in the right-hand window.

    Suchen nach Objekten in der verwalteten Azure AD DS-Domäne mit „LDP.exe“

Um einen bestimmten Container direkt abzufragen, können Sie im Menü Ansicht > Struktur einen BaseDN-Wert angeben, wie z. B. OU=AADDC Users,DC=CONTOSO,DC=COM oder OU=AADDC Computers,DC=CONTOSO,DC=COM.To directly query a specific container, from the View > Tree menu, you can specify a BaseDN such as OU=AADDC Users,DC=CONTOSO,DC=COM or OU=AADDC Computers,DC=CONTOSO,DC=COM. Weitere Informationen zum Formatieren und Erstellen von Abfragen finden Sie unter Grundlagen zu LDAP-Abfragen.For more information on how to format and create queries, see LDAP query basics.

Bereinigen von RessourcenClean up resources

Wenn Sie der lokalen Datei „hosts“ auf Ihrem Computer einen DNS-Eintrag hinzugefügt haben, um für dieses Tutorial die Konnektivität zu testen, entfernen Sie diesen Eintrag, und fügen Sie einen formalen Eintrag in Ihrer DNS-Zone hinzu.If you added a DNS entry to the local hosts file of your computer to test connectivity for this tutorial, remove this entry and add a formal record in your DNS zone. Um den Eintrag aus der lokalen hosts-Datei zu entfernen, gehen Sie folgendermaßen vor:To remove the entry from the local hosts file, complete the following steps:

  1. Öffnen Sie den Editor auf Ihrem lokalen Computer als Administrator.On your local machine, open Notepad as an administrator
  2. Navigieren Sie zum Ordner C:\Windows\System32\drivers\etc, und öffnen Sie die Datei „hosts“.Browse to and open the file C:\Windows\System32\drivers\etc
  3. Löschen Sie die Zeile für den von Ihnen hinzugefügten Eintrag, z. B. 40.121.19.239 ldaps.contoso.com.Delete the line for the record you added, such as 40.121.19.239 ldaps.contoso.com

Nächste SchritteNext steps

In diesem Tutorial haben Sie Folgendes gelernt:In this tutorial, you learned how to:

  • Erstellen eines digitalen Zertifikats für die Verwendung mit Azure AD DSCreate a digital certificate for use with Azure AD DS
  • Aktivieren von Secure LDAP für Azure AD DSEnable secure LDAP for Azure AD DS
  • Konfigurieren von Secure LDAP für die Verwendung aus dem öffentlichen InternetConfigure secure LDAP for use over the public internet
  • Binden und Testen von Secure LDAP für eine verwaltete Azure AD DS-DomäneBind and test secure LDAP for an Azure AD DS managed domain