Bekende problemen: Secure LDAP-waarschuwingen in Microsoft Entra Domain Services

  • Artikel

Toepassingen en services die gebruikmaken van ldap (Lightweight Directory Access Protocol) om te communiceren met Microsoft Entra Domain Services kunnen worden geconfigureerd voor het gebruik van Secure LDAP. Een geschikt certificaat en vereiste netwerkpoorten moeten zijn geopend om Secure LDAP correct te laten werken.

Dit artikel helpt u algemene waarschuwingen te begrijpen en op te lossen met secure LDAP-toegang in Domain Services.

AADDS101: Secure LDAP-netwerkconfiguratie

Waarschuwingsbericht

Secure LDAP via internet is ingeschakeld voor het beheerde domein. Toegang tot poort 636 is echter niet vergrendeld met behulp van een netwerkbeveiligingsgroep. Hierdoor kunnen gebruikersaccounts in het beheerde domein worden blootgesteld aan beveiligingsaanvallen op wachtwoorden.

Oplossing

Wanneer u Secure LDAP inschakelt, is het raadzaam extra regels te maken die de toegang tot binnenkomende LDAPS-toegang tot specifieke IP-adressen beperken. Deze regels beschermen het beheerde domein tegen beveiligingsaanvallen. Voer de volgende stappen uit om de netwerkbeveiligingsgroep bij te werken om TCP-poort 636-toegang voor Secure LDAP te beperken:

  1. Zoek en selecteer netwerkbeveiligingsgroepen in het Microsoft Entra-beheercentrum.
  2. Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG en selecteer vervolgens Inkomende beveiligingsregels
  3. Selecteer + Toevoegen om een regel te maken voor TCP-poort 636. Selecteer indien nodig Geavanceerd in het venster om een regel te maken.
  4. Kies IP-adressen in de vervolgkeuzelijst voor de bron. Voer de bron-IP-adressen in die u toegang wilt verlenen voor secure LDAP-verkeer.
  5. Kies Any als doel en voer vervolgens 636 in voor poortbereiken van bestemming.
  6. Stel het protocol in als TCP en de actie om toe te staan.
  7. Geef de prioriteit voor de regel op en voer vervolgens een naam in, zoals RestrictLDAPS.
  8. Wanneer u klaar bent, selecteert u Toevoegen om de regel te maken.

De status van het beheerde domein wordt automatisch binnen twee uur bijgewerkt en de waarschuwing wordt verwijderd.

Tip

TCP-poort 636 is niet de enige regel die nodig is om Domain Services soepel te laten werken. Zie de Domain Services-netwerkbeveiligingsgroepen en vereiste poorten voor meer informatie.

AADDS502: Secure LDAP-certificaat verloopt

Waarschuwingsbericht

Het Secure LDAP-certificaat voor het beheerde domein verloopt op [datum]].

Oplossing

Maak een vervangend Secure LDAP-certificaat door de stappen te volgen om een certificaat voor Secure LDAP te maken. Pas het vervangende certificaat toe op Domain Services en distribueer het certificaat naar clients die verbinding maken met secure LDAP.

Volgende stappen

Als u nog steeds problemen ondervindt, opent u een ondersteuning voor Azure aanvraag voor meer hulp bij het oplossen van problemen.