既知の問題: Microsoft Entra での Secure LDAP アラート

  • [アーティクル]

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) を使用して Microsoft Entra Domain Services と通信するアプリケーションおよびサービスは、Secure LDAP を使用するように構成できます。 Secure LDAP が正しく機能するためには、適切な証明書と必要なネットワーク ポートが開いている必要があります。

この記事は、Domain Services での Secur LDAP アクセスにおける一般的なアラートを理解して解決するのに役立ちます。

AADDS101:Secure LDAP ネットワーク構成

アラート メッセージ

"マネージド ドメインに対してインターネット経由のセキュリティで Secure LDAP が有効になっています。 ただし、ポート 636 へのアクセスはネットワーク セキュリティ グループを使用してロックダウンされていません。 これにより、マネージド ドメインのユーザー アカウントがパスワードの総当り攻撃の対象になる可能性があります。"

解決方法

Secure LDAP を有効にする場合は、特定の IP アドレスへの受信 LDAPS アクセスを制限する、追加のルールを作成することをお勧めします。 これらの規則は、マネージド ドメインをブルート フォース攻撃から保護します。 Secure LDAP への TCP ポート 636 アクセスを制限するようにネットワーク セキュリティ グループを更新するには、次の手順を実行します。

  1. Microsoft Entra 管理センターで、ネットワーク セキュリティ グループを検索して選択します。
  2. マネージド ドメインに関連付けられているネットワーク セキュリティ グループ (AADDS-contoso.com-NSG など) を選択し、次に [受信セキュリティ規則] を選択します。
  3. [+ 追加] を選択して、TCP ポート 636 のルールを作成します。 必要に応じて、ウィンドウで [詳細] を選択して規則を作成します。
  4. [Source]\(ソース\) には、ドロップダウン メニューから [IP アドレス] を選択します。 Secure LDAP トラフィックのアクセス権を付与するソース IP アドレスを入力します。
  5. [宛先] として [Any]\(任意\) を選択し、 [宛先ポート範囲] に「636」を入力します。
  6. [プロトコル][TCP] と設定し、 [アクション][許可] と設定します。
  7. 規則の優先順位を指定し、名前 (RestrictLDAPS など) を入力します。
  8. 準備ができたら、 [追加] を選択して規則を作成します。

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

ヒント

Domain Services を円滑に実行するために必要な規則は、TCP ポート 636 だけではありません。 詳細については、「Domain Services Network のセキュリティ グループと必要なポート」を参照してください。

AADDS502:Secure LDAP 証明書の期限切れ間近

アラート メッセージ

マネージド ドメインのセキュリティで保護された LDAP 証明は[日付] に有効期限が切れます。

解決方法

交換用の Secure LDAP 証明書を作成するには、「Secure LDAP 用の証明書を作成する」の手順を実行してください。 置換用の証明書を Domain Services に適用し、Secure LDAP を使用して接続するすべてのクライアントにその証明書を配布します。

次のステップ

まだ問題が解決しない場合は、さらなるトラブルシューティングの支援を求めて、Azure サポート リクエストを開いてください。