Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain ServicesConfigure secure LDAP (LDAPS) for an Azure AD Domain Services managed domain

Prima di iniziareBefore you begin

Assicurarsi di aver completato l'Attività 2: Esportare il certificato LDAP sicuro in un file PFX.Ensure you've completed Task 2 - export the secure LDAP certificate to a .PFX file.

Attività 3: Abilitare l'accesso LDAP sicuro per il dominio gestito usando il portale di AzureTask 3 - enable secure LDAP for the managed domain using the Azure portal

Per abilitare l'accesso LDAP sicuro, seguire questa procedura di configurazione:To enable secure LDAP, perform the following configuration steps:

  1. Passare al portale di Azure.Navigate to the Azure portal.

  2. Cercare "servizi di dominio" nella casella di ricerca Cerca risorse.Search for 'domain services' in the Search resources search box. Selezionare Azure AD Domain Services dai risultati della ricerca.Select Azure AD Domain Services from the search result. Il dominio gestito viene elencato nella pagina Azure AD Domain Services.The Azure AD Domain Services page lists your managed domain.

    Trovare il dominio gestito di cui viene effettuato il provisioning

  3. Fare clic sul nome del dominio gestito (ad esempio, "contoso100.com") per visualizzare altre informazioni sul dominio.Click the name of the managed domain (for example, 'contoso100.com') to see more details about the domain.

    Domain Services - Stato del provisioning

  4. Fare clic su LDAP sicuro nel riquadro di spostamento.Click Secure LDAP on the navigation pane.

    Domain Services - Pagina LDAP sicuro

  5. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito è disabilitato.By default, secure LDAP access to your managed domain is disabled. Impostare LDAP sicuro su Abilita.Toggle Secure LDAP to Enable.

    Abilitare LDAP sicuro

  6. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito su Internet è disabilitato.By default, secure LDAP access to your managed domain over the internet is disabled. Impostare Abilita accesso LDAP sicuro tramite Internet su Abilita, se necessario.Toggle Allow secure LDAP access over the internet to Enable, if desired.

    Avviso

    Quando si abilita l'accesso LDAP sicuro tramite Internet, il dominio è soggetto ad attacchi di forza bruta sulle password tramite Internet.When you enable secure LDAP access over the internet, your domain is susceptible to password brute force attacks over the internet. È consigliabile pertanto configurare un gruppo di sicurezza di rete per bloccare l'accesso agli intervalli di indirizzi IP di origine necessari.Therefore, we recommend setting up an NSG to lock down access to required source IP address ranges. Vedere le istruzioni in Blocco dell'accesso LDAPS al dominio gestito su Internet.See the instructions to lock down LDAPS access to your managed domain over the internet.

  7. Fare clic sull'icona della cartella accanto a File PFX con certificato LDAP sicuro.Click the folder icon following .PFX file with secure LDAP certificate. Specificare il percorso del file PFX con il certificato per l'accesso LDAP sicuro al dominio gestito.Specify the path to the PFX file with the certificate for secure LDAP access to the managed domain.

  8. Specificare la password per decrittografare il file PFX.Specify the Password to decrypt .PFX file. Indicare la stessa password usata per l'esportazione del certificato nel file PFX.Provide the same password you used when exporting the certificate to the PFX file.

  9. Al termine, fare clic sul pulsante Salva .When you are done, click the Save button.

  10. Viene visualizzata una notifica che informa che è in corso la configurazione dell'accesso LDAP sicuro per il dominio gestito.You see a notification that informs you secure LDAP is being configured for the managed domain. Finché questa operazione non viene completata, non è possibile modificare altre impostazioni per il dominio.Until this operation is complete, you cannot modify other settings for the domain.

    Configurazione dell'accesso LDAP sicuro per il dominio gestito

Nota

Per abilitare l'accesso LDAP sicuro per il dominio gestito saranno necessari circa 10-15 minuti.It takes about 10 to 15 minutes to enable secure LDAP for your managed domain. Se il certificato LDAP sicuro fornito non soddisfa i criteri necessari, l'accesso LDAP sicuro non viene abilitato per la directory e viene visualizzato un errore.If the provided secure LDAP certificate does not match the required criteria, secure LDAP is not enabled for your directory and you see a failure. Ad esempio, il nome di dominio non è corretto, il certificato è già scaduto o scadrà presto.For example, the domain name is incorrect, the certificate has already expired or expires soon. In questo caso, riprovare con un certificato valido.In this case, retry with a valid certificate.


Attività 4: Configurare DNS per l'accesso al dominio gestito da InternetTask 4 - configure DNS to access the managed domain from the internet

Nota

Attività facoltativa : ignorare questa attività di configurazione se non si intende accedere al dominio gestito usando l'accesso LDAP sicuro tramite Internet.Optional task - If you do not plan to access the managed domain using LDAPS over the internet, skip this configuration task.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.Before you begin this task, ensure you have completed the steps outlined in Task 3.

Dopo aver attivato l'accesso LDAP sicuro tramite Internet al dominio gestito, è necessario aggiornare il server DNS in modo che i computer client possano trovare il dominio gestito.Once you have enabled secure LDAP access over the internet for your managed domain, you need to update DNS so that client computers can find this managed domain. Al termine dell'attività 3, nel campo INDIRIZZO IP ESTERNO PER L'ACCESSO LDAPS della scheda Proprietà viene visualizzato un indirizzo IP esterno.At the end of task 3, an external IP address is displayed on the Properties tab in EXTERNAL IP ADDRESS FOR LDAPS ACCESS.

Configurare il provider DNS esterno in modo che il nome DNS del dominio gestito, ad esempio "ldaps.contoso100.com", punti a questo indirizzo IP esterno.Configure your external DNS provider so that the DNS name of the managed domain (for example, 'ldaps.contoso100.com') points to this external IP address. Creare ad esempio la voce DNS seguente:For example, create the following DNS entry:

ldaps.contoso100.com  -> 52.165.38.113

La procedura è terminata ed è possibile connettersi al dominio gestito usando l'accesso LDAP sicuro tramite Internet.That's it - you are now ready to connect to the managed domain using secure LDAP over the internet.

Avviso

Tenere presente che i computer client devono considerare attendibile l'autorità emittente del certificato LDAPS per potersi connettere al dominio gestito tramite LDAPS.Remember that client computers must trust the issuer of the LDAPS certificate to be able to connect successfully to the managed domain using LDAPS. Se si usa un'autorità di certificazione pubblicamente attendibile, non sarà necessario eseguire alcuna operazione perché queste autorità sono considerate attendibili dai computer client.If you are using a publicly trusted certification authority, you do not need to do anything since client computers trust these certificate issuers. Se si usa un certificato autofirmato, installare la parte pubblica del certificato autofirmato nell'archivio certificati attendibili del computer client.If you are using a self-signed certificate, install the public part of the self-signed certificate into the trusted certificate store on the client computer.

Attività 5: Bloccare l'accesso LDAP sicuro al dominio gestito su InternetTask 5 - lock down secure LDAP access to your managed domain over the internet

Nota

Ignorare questa attività di configurazione, se non è stato abilitato l'accesso LDAPS al dominio gestito su Internet.If you have not enabled LDAPS access to the managed domain over the internet, skip this configuration task.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.Before you begin this task, ensure you have completed the steps outlined in Task 3.

L'esposizione del dominio gestito per l'accesso LDAPS su Internet rappresenta una minaccia alla sicurezza.Exposing your managed domain for LDAPS access over the internet represents a security threat. Il dominio gestito è raggiungibile da Internet presso la porta usata per l'accesso LDAP sicuro, ovvero la porta 636.The managed domain is reachable from the internet at the port used for secure LDAP (that is, port 636). Di conseguenza, è possibile scegliere di limitare l'accesso al dominio gestito a determinati indirizzi IP noti.Therefore, you can choose to restrict access to the managed domain to specific known IP addresses. Per migliorare la sicurezza, creare un gruppo di sicurezza di rete (NSG) e associarlo alla subnet in cui è stato abilitato Azure AD Domain Services.For improved security, create a network security group (NSG) and associate it with the subnet where you have enabled Azure AD Domain Services.

La tabella seguente illustra un esempio di gruppo di sicurezza di rete che è possibile configurare per bloccare l'accesso LDAP sicuro su Internet.The following table illustrates a sample NSG you can configure, to lock down secure LDAP access over the internet. Il gruppo di sicurezza di rete contiene un set di regole che consentono l'accesso LDAP sicuro in ingresso sulla porta TCP 636 solo da un set specificato di indirizzi IP.The NSG contains a set of rules that allow inbound secure LDAP access over TCP port 636 only from a specified set of IP addresses. La regola predefinita "DenyAll" si applica a tutto il traffico in ingresso da Internet.The default 'DenyAll' rule applies to all other inbound traffic from the internet. La regola del gruppo di sicurezza di rete per consentire l'accesso LDAPS su Internet da indirizzi IP specificati ha una priorità superiore rispetto alla regola DenyAll del gruppo di sicurezza di rete.The NSG rule to allow LDAPS access over the internet from specified IP addresses has a higher priority than the DenyAll NSG rule.

Gruppo di sicurezza di rete di esempio per proteggere l'accesso LDAPS su Internet

Altre informazioni - Gruppi di sicurezza di reteMore information - Network security groups.


Risoluzione dei problemiTroubleshooting

Nel caso di problemi di connessione al dominio gestito tramite il protocollo LDAP sicuro, seguire questa procedura di risoluzione dei problemi:If you have trouble connecting to the managed domain using secure LDAP, perform the following troubleshooting steps:

  • Verificare che la catena di autorità di certificazione del certificato LDAP sicuro sia considerata attendibile nel client.Ensure that the issuer chain of the secure LDAP certificate is trusted on the client. È possibile scegliere di aggiungere l'autorità di certificazione radice nell'archivio certificati radice attendibili nel client per stabilire la relazione di attendibilità.You may choose to add the Root certification authority to the trusted root certificate store on the client to establish the trust.
  • Verificare che il certificato LDAP sicuro non sia stato emesso da un'autorità di certificazione intermedia, che, per impostazione predefinita, non viene considerata attendibile in un computer Windows aggiornato.Verify that the secure LDAP certificate is not issued by an intermediate certificate authority that is not trusted by default on a fresh windows machine.
  • Verificare che il client LDAP (ad esempio ldp.exe) si connetta all'endpoint LDAP sicuro usando un nome DNS, non l'indirizzo IP.Verify that the LDAP client (for example, ldp.exe) connects to the secure LDAP endpoint using a DNS name, not the IP address.
  • Verificare che il nome DNS a cui si connette il client LDAP venga risolto nell'indirizzo IP pubblico per il protocollo LDAP sicuro nel dominio gestito.Verify the DNS name the LDAP client connects to resolves to the public IP address for secure LDAP on the managed domain.
  • Verificare che il certificato LDAP sicuro per il dominio gestito contenga il nome DNS nell'attributo soggetto o nell'attributo nomi alternativi del soggetto.Verify the secure LDAP certificate for your managed domain has the DNS name in the Subject or the Subject Alternative Names attribute.

Se i problemi di connessione al dominio gestito con il protocollo LDAP sicuro persistono, contattare il team di prodotto per assistenza.If you still have trouble connecting to the managed domain using secure LDAP, contact the product team for help. Includere le informazioni seguenti per agevolare la diagnostica del problema:Include the following information to help diagnose the issue better:

  • Schermata di ldp.exe che effettua la connessione con esito negativo.A screenshot of ldp.exe making the connection and failing.
  • ID tenant di Azure AD e nome di dominio DNS per il dominio gestito.Your Azure AD tenant ID, and the DNS domain name of your managed domain.
  • Nome utente esatto con cui si tenta di connettersi.Exact user name that you are trying to bind as.