Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain ServicesConfigure secure LDAP (LDAPS) for an Azure AD Domain Services managed domain

Prima di iniziareBefore you begin

Assicurarsi di aver completato l'Attività 2: Esportare il certificato LDAP sicuro in un file PFX.Ensure you've completed Task 2 - export the secure LDAP certificate to a .PFX file.

Attività 3: Abilitare l'accesso LDAP sicuro per il dominio gestito usando il portale di AzureTask 3 - enable secure LDAP for the managed domain using the Azure portal

Per abilitare l'accesso LDAP sicuro, seguire questa procedura di configurazione:To enable secure LDAP, perform the following configuration steps:

  1. Passare al portale di Azure.Navigate to the Azure portal.

  2. Cercare "servizi di dominio" nella casella di ricerca Cerca risorse.Search for 'domain services' in the Search resources search box. Selezionare Azure AD Domain Services dai risultati della ricerca.Select Azure AD Domain Services from the search result. Il dominio gestito viene elencato nella pagina Azure AD Domain Services.The Azure AD Domain Services page lists your managed domain.

    Trovare il dominio gestito di cui viene effettuato il provisioning

  3. Fare clic sul nome del dominio gestito (ad esempio, "contoso100.com") per visualizzare altre informazioni sul dominio.Click the name of the managed domain (for example, 'contoso100.com') to see more details about the domain.

    Domain Services - Stato del provisioning

  4. Fare clic su LDAP sicuro nel riquadro di spostamento.Click Secure LDAP on the navigation pane.

    Domain Services - Pagina LDAP sicuro

  5. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito è disabilitato.By default, secure LDAP access to your managed domain is disabled. Impostare LDAP sicuro su Abilita.Toggle Secure LDAP to Enable.

    Abilitare LDAP sicuro

  6. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito su Internet è disabilitato.By default, secure LDAP access to your managed domain over the internet is disabled. Impostare Abilita accesso LDAP sicuro tramite Internet su Abilita, se necessario.Toggle Allow secure LDAP access over the internet to Enable, if desired.

    Avviso

    Quando si abilita l'accesso LDAP sicuro tramite Internet, il dominio è soggetto ad attacchi di forza bruta sulle password tramite Internet.When you enable secure LDAP access over the internet, your domain is susceptible to password brute force attacks over the internet. È consigliabile pertanto configurare un gruppo di sicurezza di rete per bloccare l'accesso agli intervalli di indirizzi IP di origine necessari.Therefore, we recommend setting up an NSG to lock down access to required source IP address ranges. Vedere le istruzioni in Blocco dell'accesso LDAPS al dominio gestito su Internet.See the instructions to lock down LDAPS access to your managed domain over the internet.

  7. Fare clic sull'icona della cartella accanto a File PFX con certificato LDAP sicuro.Click the folder icon following .PFX file with secure LDAP certificate. Specificare il percorso del file PFX con il certificato per l'accesso LDAP sicuro al dominio gestito.Specify the path to the PFX file with the certificate for secure LDAP access to the managed domain.

  8. Specificare la password per decrittografare il file PFX.Specify the Password to decrypt .PFX file. Indicare la stessa password usata per l'esportazione del certificato nel file PFX.Provide the same password you used when exporting the certificate to the PFX file.

  9. Al termine, fare clic sul pulsante Salva .When you are done, click the Save button.

  10. Viene visualizzata una notifica che informa che è in corso la configurazione dell'accesso LDAP sicuro per il dominio gestito.You see a notification that informs you secure LDAP is being configured for the managed domain. Finché questa operazione non viene completata, non è possibile modificare altre impostazioni per il dominio.Until this operation is complete, you cannot modify other settings for the domain.

    Configurazione dell'accesso LDAP sicuro per il dominio gestito

Nota

Per abilitare l'accesso LDAP sicuro per il dominio gestito saranno necessari circa 10-15 minuti.It takes about 10 to 15 minutes to enable secure LDAP for your managed domain. Se il certificato LDAP sicuro fornito non soddisfa i criteri necessari, l'accesso LDAP sicuro non viene abilitato per la directory e viene visualizzato un errore.If the provided secure LDAP certificate does not match the required criteria, secure LDAP is not enabled for your directory and you see a failure. Ad esempio, il nome di dominio non è corretto, il certificato è già scaduto o scadrà presto.For example, the domain name is incorrect, the certificate has already expired or expires soon. In questo caso, riprovare con un certificato valido.In this case, retry with a valid certificate.


Attività 4: Configurare DNS per l'accesso al dominio gestito da InternetTask 4 - configure DNS to access the managed domain from the internet

Nota

Attività facoltativa : ignorare questa attività di configurazione se non si intende accedere al dominio gestito usando l'accesso LDAP sicuro tramite Internet.Optional task - If you do not plan to access the managed domain using LDAPS over the internet, skip this configuration task.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.Before you begin this task, ensure you have completed the steps outlined in Task 3.

Dopo aver attivato l'accesso LDAP sicuro tramite Internet al dominio gestito, è necessario aggiornare il server DNS in modo che i computer client possano trovare il dominio gestito.Once you have enabled secure LDAP access over the internet for your managed domain, you need to update DNS so that client computers can find this managed domain. Al termine dell'attività 3, nel campo INDIRIZZO IP ESTERNO PER L'ACCESSO LDAPS della scheda Proprietà viene visualizzato un indirizzo IP esterno.At the end of task 3, an external IP address is displayed on the Properties tab in EXTERNAL IP ADDRESS FOR LDAPS ACCESS.

Configurare il provider DNS esterno in modo che il nome DNS del dominio gestito, ad esempio "ldaps.contoso100.com", punti a questo indirizzo IP esterno.Configure your external DNS provider so that the DNS name of the managed domain (for example, 'ldaps.contoso100.com') points to this external IP address. Creare ad esempio la voce DNS seguente:For example, create the following DNS entry:

ldaps.contoso100.com  -> 52.165.38.113

La procedura è terminata ed è possibile connettersi al dominio gestito usando l'accesso LDAP sicuro tramite Internet.That's it - you are now ready to connect to the managed domain using secure LDAP over the internet.

Avviso

Tenere presente che i computer client devono considerare attendibile l'autorità emittente del certificato LDAPS per potersi connettere al dominio gestito tramite LDAPS.Remember that client computers must trust the issuer of the LDAPS certificate to be able to connect successfully to the managed domain using LDAPS. Se si usa un'autorità di certificazione pubblicamente attendibile, non sarà necessario eseguire alcuna operazione perché queste autorità sono considerate attendibili dai computer client.If you are using a publicly trusted certification authority, you do not need to do anything since client computers trust these certificate issuers. Se si usa un certificato autofirmato, installare la parte pubblica del certificato autofirmato nell'archivio certificati attendibili del computer client.If you are using a self-signed certificate, install the public part of the self-signed certificate into the trusted certificate store on the client computer.

Attività 5: Bloccare l'accesso LDAP sicuro al dominio gestito su InternetTask 5 - lock down secure LDAP access to your managed domain over the internet

Nota

Ignorare questa attività di configurazione, se non è stato abilitato l'accesso LDAPS al dominio gestito su Internet.If you have not enabled LDAPS access to the managed domain over the internet, skip this configuration task.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.Before you begin this task, ensure you have completed the steps outlined in Task 3.

L'esposizione del dominio gestito per l'accesso LDAPS su Internet rappresenta una minaccia alla sicurezza.Exposing your managed domain for LDAPS access over the internet represents a security threat. Il dominio gestito è raggiungibile da Internet presso la porta usata per l'accesso LDAP sicuro, ovvero la porta 636.The managed domain is reachable from the internet at the port used for secure LDAP (that is, port 636). Di conseguenza, è possibile scegliere di limitare l'accesso al dominio gestito a determinati indirizzi IP noti.Therefore, you can choose to restrict access to the managed domain to specific known IP addresses. Per migliorare la sicurezza, creare un gruppo di sicurezza di rete (NSG) e associarlo alla subnet in cui è stato abilitato Azure AD Domain Services.For improved security, create a network security group (NSG) and associate it with the subnet where you have enabled Azure AD Domain Services.

La tabella seguente illustra un esempio di gruppo di sicurezza di rete che è possibile configurare per bloccare l'accesso LDAP sicuro su Internet.The following table illustrates a sample NSG you can configure, to lock down secure LDAP access over the internet. Il gruppo di sicurezza di rete contiene un set di regole che consentono l'accesso LDAP sicuro in ingresso sulla porta TCP 636 solo da un set specificato di indirizzi IP.The NSG contains a set of rules that allow inbound secure LDAP access over TCP port 636 only from a specified set of IP addresses. La regola predefinita "DenyAll" si applica a tutto il traffico in ingresso da Internet.The default 'DenyAll' rule applies to all other inbound traffic from the internet. La regola del gruppo di sicurezza di rete per consentire l'accesso LDAPS su Internet da indirizzi IP specificati ha una priorità superiore rispetto alla regola DenyAll del gruppo di sicurezza di rete.The NSG rule to allow LDAPS access over the internet from specified IP addresses has a higher priority than the DenyAll NSG rule.

Gruppo di sicurezza di rete di esempio per proteggere l'accesso LDAPS su Internet

Altre informazioni - Gruppi di sicurezza di reteMore information - Network security groups.


Eseguire il binding al dominio gestito mediante LDAP usando LDP.exeBind to the managed domain over LDAP using LDP.exe

Per eseguire il binding e la ricerca su LDAP è possibile usare lo strumento LDP.exe incluso nel pacchetto di Strumenti di amministrazione remota del server.You can use the LDP.exe tool which is included in the Remote Server Administration tools package to bind and search over LDAP.

Innanzitutto, aprire LDP e connettersi al dominio gestito.First, open LDP and connect to the managed domain. Fare clic su Connessione, quindi fare clic su Connetti... nel menu.Click Connection and click Connect... in the menu. Specificare il nome di dominio DNS del dominio gestito.Specify the DNS domain name of the managed domain. Specificare la porta da usare per le connessioni.Specify the port to use for connections. Per le connessioni LDAP, usare la porta 389.For LDAP connections, use port 389. Per le connessioni LDAPS, usare la porta 636.For LDAPS connections use port 636. Fare clic sul pulsante OK per connettersi al dominio gestito.Click OK button to connect to the managed domain.

Eseguire quindi il binding al dominio gestito.Next, bind to the managed domain. Fare clic su Connessione, quindi fare clic su Associazione... nel menu.Click Connection and click Bind... in the menu. Fornire le credenziali di un account utente appartenente al gruppo "AAD DC Administrators".Provide the credentials of a user account belonging to the 'AAD DC Administrators' group.

Selezionare Visualizza, quindi selezionare Albero nel menu.Select View, and then select Tree in the menu. Lasciare vuoto il campo Nome distinto di base e fare clic su OK.Leave the Base DN field blank, and click OK. Passare al contenitore in cui si desidera eseguire la ricerca, fare clic su di esso con il pulsante destro, quindi selezionare Cerca.Navigate to the container that you want to search, right-click the container, and select Search.

Suggerimento

  • Utenti e gruppi sincronizzati da Azure AD vengono archiviati nel contenitore AADDC Users.Users and groups synchronized from Azure AD are stored in the AADDC Users container. Il percorso di ricerca per questo contenitore è simile a CN=AADDC\ Users,DC=CONTOSO100,DC=COM.The search path for this container looks like CN=AADDC\ Users,DC=CONTOSO100,DC=COM.
  • Gli account computer per tutti i computer aggiunti al dominio gestito sono archiviati nel contenitore AADDC Computers.Computer accounts for computers joined to the managed domain are stored in the AADDC Computers container. Il percorso di ricerca per questo contenitore è simile a CN=AADDC\ Computers,DC=CONTOSO100,DC=COM.The search path for this container looks like CN=AADDC\ Computers,DC=CONTOSO100,DC=COM.

Altre informazioni - Nozioni di base sulle query LDAPMore information - LDAP query basics

risoluzione dei problemiTroubleshooting

Nel caso di problemi di connessione al dominio gestito tramite il protocollo LDAP sicuro, seguire questa procedura di risoluzione dei problemi:If you have trouble connecting to the managed domain using secure LDAP, perform the following troubleshooting steps:

  • Verificare che la catena di autorità di certificazione del certificato LDAP sicuro sia considerata attendibile nel client.Ensure that the issuer chain of the secure LDAP certificate is trusted on the client. È possibile scegliere di aggiungere l'autorità di certificazione radice nell'archivio certificati radice attendibili nel client per stabilire la relazione di attendibilità.You may choose to add the Root certification authority to the trusted root certificate store on the client to establish the trust.
  • Verificare che il client LDAP (ad esempio ldp.exe) si connetta all'endpoint LDAP sicuro usando un nome DNS, non l'indirizzo IP.Verify that the LDAP client (for example, ldp.exe) connects to the secure LDAP endpoint using a DNS name, not the IP address.
  • Verificare che il nome DNS a cui si connette il client LDAP venga risolto nell'indirizzo IP pubblico per il protocollo LDAP sicuro nel dominio gestito.Verify the DNS name the LDAP client connects to resolves to the public IP address for secure LDAP on the managed domain.
  • Verificare che il certificato LDAP sicuro per il dominio gestito contenga il nome DNS nell'attributo soggetto o nell'attributo nomi alternativi del soggetto.Verify the secure LDAP certificate for your managed domain has the DNS name in the Subject or the Subject Alternative Names attribute.
  • In caso di connessione usando l'accesso LDAP sicuro tramite Internet, verificare che le impostazioni del gruppo di sicurezza di rete per la rete virtuale consentano il traffico alla porta 636 da Internet.If you are connecting via secure LDAP over the internet, ensure the NSG settings for the virtual network allow the traffic to port 636 from the internet.

Se i problemi di connessione al dominio gestito con il protocollo LDAP sicuro persistono, contattare il team di prodotto per assistenza.If you still have trouble connecting to the managed domain using secure LDAP, contact the product team for help. Includere le informazioni seguenti per agevolare la diagnostica del problema:Include the following information to help diagnose the issue better:

  • Schermata di ldp.exe che effettua la connessione con esito negativo.A screenshot of ldp.exe making the connection and failing.
  • ID tenant di Azure AD e nome di dominio DNS per il dominio gestito.Your Azure AD tenant ID, and the DNS domain name of your managed domain.
  • Nome utente esatto con cui si tenta di connettersi.Exact user name that you are trying to bind as.