Bekende problemen: Secure LDAP in Azure Active Directory Domain Services

Toepassingen en services die gebruikmaken van Lightweight Directory Access Protocol (LDAP) om te communiceren met Azure Active Directory Domain Services (Azure AD DS) kunnen worden geconfigureerd voor het gebruik van Secure LDAP. Een geschikt certificaat en de vereiste netwerkpoorten moeten zijn geopend om Secure LDAP correct te laten werken.

Dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende waarschuwingen met Secure LDAP-toegang in Azure AD DS.

AADDS101: Secure LDAP netwerkconfiguratie

Waarschuwingsbericht

Secure LDAP via internet is ingeschakeld voor het beheerde domein. Toegang tot poort 636 wordt echter niet vergrendeld met behulp van een netwerkbeveiligingsgroep. Dit kan gebruikersaccounts in het beheerde domein blootstellen aan wachtwoordaanvallen.

Oplossing

Wanneer u Secure LDAP inschakelen, is het raadzaam om aanvullende regels te maken die inkomende LDAPS-toegang tot specifieke IP-adressen beperken. Deze regels beschermen het beheerde domein tegen brute force-aanvallen. Als u de netwerkbeveiligingsgroep wilt bijwerken om TCP-poort 636-toegang voor Secure LDAP te beperken, moet u de volgende stappen voltooien:

  1. Zoek en Azure Portal netwerkbeveiligingsgroepen in de Azure Portal.
  2. Kies de netwerkbeveiligingsgroep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG, en selecteer vervolgens Inkomende beveiligingsregels
  3. Selecteer + Toevoegen om een regel te maken voor TCP-poort 636. Selecteer indien nodig Geavanceerd in het venster om een regel te maken.
  4. Kies ip-adressenin de vervolgkeuzelijst bij Bron. Voer de bron-IP-adressen in die u toegang wilt verlenen voor secure LDAP-verkeer.
  5. Kies Alleals doel en voer vervolgens 636 inbij Poortbereiken van doel.
  6. Stel protocol in op TCP en de actie opToestaan.
  7. Geef de prioriteit voor de regel op en voer een naam in, zoals RestrictLDAPS.
  8. Wanneer u klaar bent, selecteert u Toevoegen om de regel te maken.

De status van het beheerde domein wordt automatisch binnen twee uur automatisch bijgewerkt en de waarschuwing wordt verwijderd.

Tip

TCP-poort 636 is niet de enige regel die nodig is om Azure AD DS probleemloos uit te voeren. Zie voor meer informatie de Azure AD DS netwerkbeveiligingsgroepen en vereiste poorten.

AADDS502: Secure LDAP verlopen

Waarschuwingsbericht

Het Secure LDAP-certificaat voor het beheerde domein verloopt op [datum]].

Oplossing

Maak een vervangend Secure LDAP-certificaat door de stappen te volgen om een certificaat voor Secure LDAP te maken. Pas het vervangende certificaat toe op Azure AD DS en distribueer het certificaat naar clients die verbinding maken met behulp van Secure LDAP.

Volgende stappen

Als u nog steeds problemen hebt, opent u een ondersteuning voor Azure voor aanvullende hulp bij het oplossen van problemen.