Bekende problemen: Secure LDAP waarschuwingen in Azure Active Directory Domain Services

  • Artikel
  • 2 minuten om te lezen

Toepassingen en services die gebruikmaken van Lightweight Directory Access Protocol (LDAP) om te communiceren met Azure Active Directory Domain Services (Azure AD DS) kunnen worden geconfigureerd voor het gebruik van secure LDAP. Er moet een geschikt certificaat en de vereiste netwerk poorten zijn geopend voor een goede werking van de beveiliging van LDAP.

Dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende waarschuwingen met beveiligde LDAP-toegang in azure AD DS.

AADDS101: Secure LDAP netwerk configuratie

Waarschuwings bericht

Secure LDAP via internet is ingeschakeld voor het beheerde domein. Toegang tot poort 636 is echter niet vergrendeld met behulp van een netwerk beveiligings groep. Hierdoor kunnen gebruikers accounts in het beheerde domein worden blootgesteld aan wacht woorden voor het afdwingen van wachtwoord aanvallen.

Oplossing

Wanneer u beveiligd LDAP inschakelt, is het raadzaam extra regels te maken voor het beperken van de toegang tot specifieke IP-adressen van de toegangs rechten voor het binnenkomende LDAPS. Deze regels beveiligen het beheerde domein tegen beveiligings aanvallen. Voer de volgende stappen uit om de netwerk beveiligings groep bij te werken om de TCP-poort 636 voor beveiligde LDAP te beperken:

  1. In de Azure Portal zoekt en selecteert u netwerk beveiligings groepen.
  2. Kies de netwerk beveiligings groep die is gekoppeld aan uw beheerde domein, zoals AADDS-contoso.com-NSG, en selecteer vervolgens regels voor binnenkomende beveiliging
  3. Selecteer + toevoegen om een regel voor TCP-poort 636 te maken. Selecteer, indien nodig, Geavanceerd in het venster om een regel te maken.
  4. Kies IP-adressen in de vervolg keuzelijst voor de bron. Voer de bron-IP-adressen in die u toegang wilt verlenen voor beveiligd LDAP-verkeer.
  5. Kies een van de doel waarden en voer 636 in als doel poort bereik.
  6. Stel het protocol in als TCP en de actie die moet worden toegestaan.
  7. Geef de prioriteit voor de regel op en voer een naam in, zoals RestrictLDAPS.
  8. Wanneer u klaar bent, selecteert u toevoegen om de regel te maken.

De status van het beheerde domein wordt automatisch bijgewerkt binnen twee uur en de waarschuwing wordt verwijderd.

Tip

TCP-poort 636 is niet de enige regel die nodig is om Azure AD DS soepel uit te voeren. Zie voor meer informatie de Azure AD DS-netwerk beveiligings groepen en de vereiste poorten.

AADDS502: het verlopen van Secure LDAP-certificaten

Waarschuwings bericht

Het beveiligde LDAP-certificaat voor het beheerde domein verloopt op [date]].

Oplossing

Maak een vervangend beveiligd LDAP-certificaat door de stappen te volgen om een certificaat voor beveiligde LDAP te maken. Het vervangende certificaat Toep assen op Azure AD DS en het certificaat distribueren naar clients die verbinding maken met behulp van beveiligde LDAP.

Volgende stappen

Als u nog steeds problemen ondervindt, opent u een ondersteunings aanvraag voor Azure voor aanvullende hulp bij het oplossen van problemen.