Problemas conocidos: Alertas de LDAP seguro en Microsoft Entra Domain Services

  • Artículo

Las aplicaciones y servicios que utilizan el protocolo ligero de acceso a directorios (LDAP) para comunicarse con los servicios de dominio de Microsoft Entra pueden configurarse para utilizar LDAP seguro. Para que LDAP seguro funcione correctamente, deben estar abiertos un certificado adecuado y los puertos de red necesarios.

Este artículo le ayuda a comprender y resolver alertas comunes con acceso LDAP seguro en Servicios de dominio.

AADDS101: Configuración de red de LDAP seguro

Mensaje de alerta

LDAP seguro a través de Internet está habilitado para el dominio administrado. Sin embargo, el acceso al puerto 636 no está bloqueado mediante un grupo de seguridad de red. Esto puede exponer las cuentas de usuario del dominio administrado a los ataques de fuerza bruta de contraseñas.

Solución

Cuando habilite LDAP seguro, se recomienda crear reglas adicionales que restrinjan el acceso LDAPS entrante a direcciones IP específicas. Estas reglas protegen el dominio administrado de ataques por fuerza bruta. Para actualizar el grupo de seguridad de red y restringir el acceso al puerto TCP 636 para LDAP seguro, complete los pasos siguientes:

  1. En el centro de administración de Microsoft Entra, busque y seleccione Grupos de seguridad de red.
  2. Elija el grupo de seguridad de red asociado a su dominio administrado, como AADDS-contoso.com-NSG y, a continuación, seleccione Reglas de seguridad de entrada.
  3. Seleccione +Agregar para crear una regla para el puerto TCP 636. Si es necesario, seleccione Avanzado en la ventana para crear una regla.
  4. En Origen, elija Direcciones IP en el menú desplegable. Escriba las direcciones IP de origen a las que desea conceder acceso para el tráfico LDAP seguro.
  5. Elija Cualquiera como Destino y escriba 636 en Intervalos de puerto de destino.
  6. Establezca el Protocolo como TCP y la Acción en Permitir.
  7. Especifique la prioridad de la regla y escriba un nombre como RestrictLDAPS.
  8. Cuando esté preparado, seleccione Agregar para crear la regla.

El estado del dominio administrado se actualiza automáticamente en dos horas y quita la alerta.

Sugerencia

El puerto TCP 636 no es la única regla necesaria para que los Servicios de dominio funcionen sin problemas. Para obtener más información, consulte Grupos de seguridad y puertos necesarios de la Red de servicios de dominio.

AADDS502: expiración del certificado de LDAP seguro

Mensaje de alerta

El certificado LDAP seguro del dominio administrado expirará en [fecha].

Solución

Cree un certificado LDAP seguro de reemplazo; para ello, siga los pasos y cree un certificado para LDAP seguro. Aplique el certificado de sustitución a los servicios de dominio y distribuya el certificado a todos los clientes que se conecten mediante LDAP seguro.

Pasos siguientes

Si los problemas persisten, abra una solicitud de Soporte técnico de Azure para obtener ayuda adicional de solución de problemas.