Problemi noti: avvisi LDAP sicuri in Microsoft Entra Domain Services

  • Articolo

Le applicazioni e i servizi che usano ldap (Lightweight Directory Access Protocol) per comunicare con Microsoft Entra Domain Services possono essere configurati per l'uso di LDAP sicuro. Un certificato appropriato e le porte di rete necessarie devono essere aperte affinché LDAP sicuro funzioni correttamente.

Questo articolo illustra come comprendere e risolvere gli avvisi comuni con accesso LDAP sicuro in Servizi di dominio.

AADDS101: configurazione di rete LDAP sicura

Messaggio di avviso

LDAP sicuro su Internet è abilitato per il dominio gestito. L'accesso alla porta 636 non è tuttavia bloccato tramite un gruppo di sicurezza di rete. È quindi possibile che gli account utente sul dominio gestito siano esposti ad attacchi di forza bruta alle password.

Risoluzione

Quando si abilita LDAP sicuro, è consigliabile creare regole aggiuntive che limitano l'LD in ingresso piattaforma di strumenti analitici l'accesso a indirizzi IP specifici. Queste regole proteggono il dominio gestito da attacchi di forza bruta. Per aggiornare il gruppo di sicurezza di rete per limitare l'accesso alla porta TCP 636 per LDAP sicuro, seguire questa procedura:

  1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Gruppi di sicurezza di rete.
  2. Scegliere il gruppo di sicurezza di rete associato al dominio gestito, ad esempio AADDS-contoso.com-NSG, quindi selezionare Regole di sicurezza in ingresso
  3. Selezionare + Aggiungi per creare una regola per la porta TCP 636. Se necessario, selezionare Avanzate nella finestra per creare una regola.
  4. Per Origine scegliere Indirizzi IP dal menu a discesa. Immettere gli indirizzi IP di origine a cui si vuole concedere l'accesso per il traffico LDAP sicuro.
  5. Scegliere Qualsiasi come Destinazione, quindi immettere 636 per Intervalli di porte di destinazione.
  6. Impostare Il protocollo come TCP e l'azione su Consenti.
  7. Specificare la priorità per la regola, quindi immettere un nome, ad esempio RestrictLD piattaforma di strumenti analitici.
  8. Quando si è pronti, selezionare Aggiungi per creare la regola.

L'integrità del dominio gestito viene aggiornata automaticamente entro due ore e rimuove l'avviso.

Suggerimento

La porta TCP 636 non è l'unica regola necessaria per l'esecuzione senza problemi di Servizi di dominio. Per altre informazioni, vedere i gruppi di sicurezza di rete di Servizi di dominio e le porte necessarie.

AADDS502: Scadenza del certificato LDAP sicuro

Messaggio di avviso

Il certificato LDAP sicuro per il dominio gestito scadrà in [data].

Risoluzione

Creare un certificato LDAP sicuro sostitutivo seguendo la procedura per creare un certificato per LDAP sicuro. Applicare il certificato sostitutivo a Servizi di dominio e distribuire il certificato a tutti i client che si connettono tramite LDAP sicuro.

Passaggi successivi

Se si verificano ancora problemi, aprire una richiesta di supporto tecnico di Azure per altre informazioni sulla risoluzione dei problemi.