Ismert problémák: BIZTONSÁGOS LDAP-riasztások a Microsoft Entra Domain Servicesben

  • Cikk

Az egyszerűsített címtárelérési protokollt (LDAP) használó alkalmazások és szolgáltatások a Microsoft Entra Domain Services szolgáltatással való kommunikációhoz konfigurálhatók biztonságos LDAP használatára. A biztonságos LDAP megfelelő működéséhez meg kell nyitni a megfelelő tanúsítványt és a szükséges hálózati portokat.

Ez a cikk segít megérteni és elhárítani a tartományi szolgáltatásokban biztonságos LDAP-hozzáféréssel rendelkező gyakori riasztásokat.

AADDS101: Biztonságos LDAP-hálózati konfiguráció

Riasztási üzenet

A biztonságos LDAP az interneten keresztül engedélyezve van a felügyelt tartomány számára. A 636-os porthoz való hozzáférés azonban nincs zárolva hálózati biztonsági csoport használatával. Ez a felügyelt tartomány felhasználói fiókjait jelszóval kapcsolatos találgatásos támadásoknak teheti ki.

Resolution (Osztás)

Ha engedélyezi a biztonságos LDAP-t, javasoljuk, hogy hozzon létre további szabályokat, amelyek korlátozzák a bejövő LDAPS-hozzáférést adott IP-címekhez. Ezek a szabályok védik a felügyelt tartományt a találgatásos támadásoktól. Ha frissíteni szeretné a hálózati biztonsági csoportot a 636-os TCP-port biztonságos LDAP-hozzáférésének korlátozására, hajtsa végre a következő lépéseket:

  1. A Microsoft Entra Felügyeleti központban keresse meg és válassza ki a hálózati biztonsági csoportokat.
  2. Válassza ki a felügyelt tartományhoz társított hálózati biztonsági csoportot (például AADDS-contoso.com-NSG), majd válassza a Bejövő biztonsági szabályok lehetőséget
  3. Válassza a + Hozzáadás lehetőséget a 636-os TCP-port szabályának létrehozásához. Ha szükséges, az ablakban válassza a Speciális lehetőséget egy szabály létrehozásához.
  4. A Forrás területen válassza az IP-címeket a legördülő menüben. Adja meg a forrás IP-címeket, amelyeket biztonságos LDAP-forgalomhoz szeretne hozzáférést biztosítani.
  5. Válassza a Bármelyik lehetőséget célként, majd adja meg a 636-os értéket a célporttartományokhoz.
  6. Állítsa a protokollt TCP-ként, a műveletet pedig engedélyezésre.
  7. Adja meg a szabály prioritását, majd adjon meg egy nevet, például a RestrictLDAPS nevet.
  8. Ha elkészült, válassza a Hozzáadás lehetőséget a szabály létrehozásához.

A felügyelt tartomány állapota két órán belül automatikusan frissül, és eltávolítja a riasztást.

Tipp.

A 636-os TCP-port nem az egyetlen szabály, amely a Domain Services zökkenőmentes futtatásához szükséges. További információkért tekintse meg a Domain Services Network biztonsági csoportjait és a szükséges portokat.

AADDS502: A biztonságos LDAP-tanúsítvány lejárata

Riasztási üzenet

A felügyelt tartomány biztonságos LDAP-tanúsítványa [dátum]] napján lejár.

Resolution (Osztás)

Hozzon létre egy helyettesítő biztonságos LDAP-tanúsítványt a biztonságos LDAP-tanúsítvány létrehozásához szükséges lépések végrehajtásával. Alkalmazza a helyettesítő tanúsítványt a Domain Servicesre, és ossza el a tanúsítványt a biztonságos LDAP használatával csatlakozó ügyfelek között.

További lépések

Ha továbbra is problémákat tapasztal, nyisson meg egy Azure-támogatás további hibaelhárítási segítséget.