Tutorial: Configurar o LDAP Seguro para um domínio gerenciado do Azure Active Directory Domain ServicesTutorial: Configure secure LDAP for an Azure Active Directory Domain Services managed domain

Para se comunicar com o domínio gerenciado do Azure AD DS (Azure Active Directory Domain Services), o protocolo LDAP é usado.To communicate with your Azure Active Directory Domain Services (Azure AD DS) managed domain, the Lightweight Directory Access Protocol (LDAP) is used. Por padrão, o tráfego do LDAP não é criptografado, o que é uma preocupação de segurança para muitos ambientes.By default, the LDAP traffic isn't encrypted, which is a security concern for many environments. Com o Azure AD DS, você pode configurar o domínio gerenciado para usar o LDAPS (protocolo LDAP Seguro).With Azure AD DS, you can configure the managed domain to use secure Lightweight Directory Access Protocol (LDAPS). Quando você usa o LDAP Seguro, o tráfego é criptografado.When you use secure LDAP, the traffic is encrypted. O LDAP Seguro também é conhecido como LDAP sobre protocolo SSL/TLS.Secure LDAP is also known as LDAP over Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

Este tutorial mostra como configurar o LDAPS para um domínio gerenciado do Azure AD DS.This tutorial shows you how to configure LDAPS for an Azure AD DS managed domain.

Neste tutorial, você aprenderá como:In this tutorial, you learn how to:

  • Criar um certificado digital para uso com o Azure AD DSCreate a digital certificate for use with Azure AD DS
  • Habilitar o LDAP Seguro para o Azure AD DSEnable secure LDAP for Azure AD DS
  • Configurar o LDAP Seguro para uso na Internet públicaConfigure secure LDAP for use over the public internet
  • Associar e testar o LDAP Seguro para um domínio gerenciado do Azure AD DSBind and test secure LDAP for an Azure AD DS managed domain

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.If you don’t have an Azure subscription, create an account before you begin.

Pré-requisitosPrerequisites

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:To complete this tutorial, you need the following resources and privileges:

Entre no Portal do AzureSign in to the Azure portal

Neste tutorial, você configurará o LDAP Seguro para o domínio gerenciado do Azure AD DS usando o portal do Azure.In this tutorial, you configure secure LDAP for the Azure AD DS managed domain using the Azure portal. Para começar, primeiro entre no portal do Azure.To get started, first sign in to the Azure portal.

Criar um certificado para o LDAP SeguroCreate a certificate for secure LDAP

Para usar o LDAP Seguro, um certificado digital é usado para criptografar a comunicação.To use secure LDAP, a digital certificate is used to encrypt the communication. Esse certificado digital é aplicado ao domínio gerenciado do Azure AD DS e permite que ferramentas como LDP.exe usem a comunicação criptografada segura ao consultar dados.This digital certificate is applied to your Azure AD DS managed domain, and lets tools like LDP.exe use secure encrypted communication when querying data. Há duas maneiras de criar um certificado para acesso do LDAP Seguro ao domínio gerenciado:There are two ways to create a certificate for secure LDAP access to the managed domain:

  • Um certificado de uma AC (autoridade de certificação) pública ou uma AC corporativa.A certificate from a public certificate authority (CA) or an enterprise CA.
    • Caso sua organização obtenha certificados de uma AC pública, obtenha o certificado LDAP Seguro dessa AC pública.If your organization gets certificates from a public CA, get the secure LDAP certificate from that public CA. Se você usar uma AC corporativa em sua organização, obtenha o certificado LDAP Seguro da AC corporativa.If you use an enterprise CA in your organization, get the secure LDAP certificate from the enterprise CA.
    • Uma AC pública só funciona quando você usa um nome DNS personalizado com o domínio gerenciado do Azure AD DS.A public CA only works when you use a custom DNS name with your Azure AD DS managed domain. Se o nome de domínio DNS do domínio gerenciado terminar em .onmicrosoft.com, você não poderá criar um certificado digital para proteger a conexão com esse domínio padrão.If the DNS domain name of your managed domain ends in .onmicrosoft.com, you can't create a digital certificate to secure the connection with this default domain. A Microsoft é proprietária do domínio .onmicrosoft.com, portanto, uma AC pública não emitirá um certificado.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Nesse cenário, crie um certificado autoassinado e use-o para configurar o LDAP seguro.In this scenario, create a self-signed certificate and use that to configure secure LDAP.
  • Um certificado autoassinado que você cria por conta própria.A self-signed certificate that you create yourself.
    • Essa abordagem é adequada para fins de teste e isso é o que este tutorial mostra.This approach is good for testing purposes, and is what this tutorial shows.

O certificado solicitado ou criado precisa atender aos requisitos a seguir.The certificate you request or create must meet the following requirements. O domínio gerenciado encontrará problemas se você habilitar o LDAP Seguro com um certificado inválido:Your managed domain encounters problems if you enable secure LDAP with an invalid certificate:

  • Emissor confiável – o certificado deve ser emitido por uma autoridade confiável para os computadores que se conectarem ao domínio gerenciado usando LDAP seguro.Trusted issuer - The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Essa autoridade pode ser uma AC pública ou uma AC corporativa confiável nesses computadores.This authority may be a public CA or an Enterprise CA trusted by these computers.
  • Tempo de vida : o certificado deve ser válido por, pelo menos, os próximos três a seis meses.Lifetime - The certificate must be valid for at least the next 3-6 months. O acesso LDAP seguro para seu domínio gerenciado é interrompido quando o certificado expira.Secure LDAP access to your managed domain is disrupted when the certificate expires.
  • Nome da entidade: o nome da entidade no certificado deve ser seu domínio gerenciado.Subject name - The subject name on the certificate must be your managed domain. Por exemplo, se o domínio for chamado contoso.com, o nome da entidade do certificado precisará ser * .contoso.com.For instance, if your domain is named contoso.com, the certificate's subject name must be *.contoso.com.
    • O nome DNS ou o nome alternativo da entidade do certificado precisa ser um certificado curinga para garantir que o LDAP Seguro funcione corretamente com o Azure AD Domain Services.The DNS name or subject alternate name of the certificate must be a wildcard certificate to ensure the secure LDAP works properly with the Azure AD Domain Services. Os controladores de domínio usam nomes aleatórios e podem ser removidos ou adicionados para garantir que o serviço permaneça disponível.Domain Controllers use random names and can be removed or added to ensure the service remains available.
  • Uso de chave – o certificado precisa ser configurado para assinaturas digitais e codificação de chave.Key usage - The certificate must be configured for digital signatures and key encipherment.
  • Finalidade do certificado : o certificado deve ser válido para autenticação de servidor SSL.Certificate purpose - The certificate must be valid for SSL server authentication.

Neste tutorial, vamos criar um certificado autoassinado para o LDAP Seguro usando o PowerShell.In this tutorial, let's create a self-signed certificate for secure LDAP using PowerShell. Abra uma janela do PowerShell como Administrador e execute os comandos a seguir.Open a PowerShell window as Administrator and run the following commands. Substitua a variável $dnsName pelo nome DNS usado por seu próprio domínio gerenciado, como contoso.com:Replace the $dnsName variable with the DNS name used by your own managed domain, such as contoso.com:

# Define your own DNS name used by your Azure AD DS managed domain
$dnsName="contoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

A seguinte saída de exemplo mostra que o certificado foi gerado com êxito e armazenado no repositório de certificados local (LocalMachine\MY):The following example output shows that the certificate was successfully generated and is stored in the local certificate store (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=contoso.com

Entender e exportar os certificados necessáriosUnderstand and export required certificates

Para usar o LDAP Seguro, o tráfego de rede é criptografado usando a PKI (infraestrutura de chave pública).To use secure LDAP, the network traffic is encrypted using public key infrastructure (PKI).

  • Uma chave privada é aplicada ao domínio gerenciado do Azure AD DS.A private key is applied to the Azure AD DS managed domain.
    • Essa chave privada é usada para descriptografar o tráfego do LDAP Seguro.This private key is used to decrypt the secure LDAP traffic. A chave privada só deve ser aplicada ao domínio gerenciado do Azure AD DS, não devendo ser amplamente distribuída aos computadores cliente.The private key should only be applied to the Azure AD DS managed domain and not widely distributed to client computers.
    • Um certificado que inclui a chave privada usa o formato de arquivo .PFX.A certificate that includes the private key uses the .PFX file format.
  • Uma chave pública é aplicada aos computadores cliente.A public key is applied to the client computers.
    • Essa chave pública é usada para criptografar o tráfego LDAP Seguro.This public key is used to encrypt the secure LDAP traffic. A chave pública pode ser distribuída aos computadores cliente.The public key can be distributed to client computers.
    • Os certificados sem a chave privada usam o formato de arquivo .CER.Certificates without the private key use the .CER file format.

Para essas duas chaves, as chaves privada e pública, garanta que apenas os computadores apropriados possam se comunicar com êxito entre si.These two keys, the private and public keys, make sure that only the appropriate computers can successfully communicate with each other. Se você usar uma AC pública ou uma AC corporativa, será emitido um certificado para você que inclui a chave privada e pode ser aplicado a um domínio gerenciado do Azure AD DS.If you use a public CA or enterprise CA, you are issued with a certificate that includes the private key and can be applied to an Azure AD DS managed domain. A chave pública já deve ser conhecida e confiável nos computadores cliente.The public key should already be known and trusted by client computers. Neste tutorial, você criou um certificado autoassinado com a chave privada, portanto, é necessário exportar os componentes públicos e privados apropriados.In this tutorial, you created a self-signed certificate with the private key, so you need to export the appropriate private and public components.

Exportar um certificado para o Azure AD DSExport a certificate for Azure AD DS

Para usar o certificado digital criado na etapa anterior com o domínio gerenciado do Azure AD DS, exporte o certificado para um arquivo de certificado .PFX que inclua a chave privada.Before you can use the digital certificate created in the previous step with your Azure AD DS managed domain, export the certificate to a .PFX certificate file that includes the private key.

  1. Para abrir a caixa de diálogo Executar, selecione as teclas Windows e R.To open the Run dialog, select the Windows and R keys.

  2. Abra o MMC (Console de Gerenciamento Microsoft) inserindo mmc na caixa de diálogo Executar e, em seguida, selecione OK.Open the Microsoft Management Console (MMC) by entering mmc in the Run dialog, then select OK.

  3. No prompt Controle de Conta de Usuário, clique em Sim para iniciar o MMC como administrador.On the User Account Control prompt, click Yes to launch MMC as administrator.

  4. No menu Arquivo, clique em Adicionar/Remover Snap-in...From the File menu, click Add/Remove Snap-in...

  5. No assistente Snap-in de certificados, escolha Conta de computador e, em seguida, selecione Avançar.In the Certificates snap-in wizard, choose Computer account, then select Next.

  6. Na página Selecionar Computador, escolha Computador local: (o computador no qual este console está sendo executado) e, em seguida, selecione Concluir.On the Select Computer page, choose Local computer: (the computer this console is running on), then select Finish.

  7. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em OK para adicionar o snap-in de certificados ao MMC.In the Add or Remove Snap-ins dialog, click OK to add the certificates snap-in to MMC.

  8. Na janela do MMC, expanda Raiz do Console.In the MMC window, expand Console Root. Selecione certificados (Computador Local) e, em seguida, expanda o nó Pessoal, seguido pelo nó Certificados.Select Certificates (Local Computer), then expand the Personal node, followed by the Certificates node.

    Abrir o repositório de certificados pessoais no Console de Gerenciamento Microsoft

  9. O certificado autoassinado criado na etapa anterior é mostrado, como contoso.com.The self-signed certificate created in the previous step is shown, such as contoso.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas > Exportar...Right-select this certificate, then choose All Tasks > Export...

    Exportar certificado no Console de Gerenciamento Microsoft

  10. No Assistente para Exportação de Certificados, selecione Avançar.In the Certificate Export Wizard, select Next.

  11. A chave privada do certificado precisa ser exportada.The private key for the certificate must be exported. Se a chave privada não estiver incluída no certificado exportado, a ação para habilitar o LDAP Seguro do domínio gerenciado falhará.If the private key is not included in the exported certificate, the action to enable secure LDAP for your managed domain fails.

    Na página Exportar Chave Privada, escolha Sim, exportar a chave privada e, em seguida, selecione Avançar.On the Export Private Key page, choose Yes, export the private key, then select Next.

  12. Os domínios gerenciados do Azure AD DS só dão suporte ao formato de arquivo de certificado .PFX que inclui a chave privada.Azure AD DS managed domains only support the .PFX certificate file format that includes the private key. Não exporte o certificado como o formato de arquivo de certificado .CER sem a chave privada.Don't export the certificate as .CER certificate file format without the private key.

    Na página Exportar Formato de Arquivo, escolha Personal Information Exchange – PKCS #12 (.PFX) como o formato de arquivo para o certificado exportado.On the Export File Format page, select Personal Information Exchange - PKCS #12 (.PFX) as the file format for the exported certificate. Marque a caixa Incluir todos os certificados no caminho de certificação, se possível:Check the box for Include all certificates in the certification path if possible:

    Escolha a opção para exportar o certificado no formato de arquivo PKCS 12 (.PFX)

  13. Como esse certificado é usado para descriptografar dados, você deve controlar cuidadosamente o acesso.As this certificate is used to decrypt data, you should carefully control access. Uma senha pode ser usada para proteger o uso do certificado.A password can be used to protect the use of the certificate. Sem a senha correta, o certificado não pode ser aplicado a um serviço.Without the correct password, the certificate can't be applied to a service.

    Na página Segurança, escolha a opção de Senha para proteger o arquivo de certificado .PFX.On the Security page, choose the option for Password to protect the .PFX certificate file. Insira e confirme uma senha e, em seguida, selecione Avançar.Enter and confirm a password, then select Next. Essa senha será usada na próxima seção para habilitar o LDAP Seguro para o domínio gerenciado do Azure AD DS.This password is used in the next section to enable secure LDAP for your Azure AD DS managed domain.

  14. Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds.pfx.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds.pfx.

  15. Na página de revisão, selecione Concluir para exportar o certificado para um arquivo de certificado .PFX.On the review page, select Finish to export the certificate to a .PFX certificate file. Uma caixa de diálogo de confirmação é exibida quando o certificado é exportado com êxito.A confirmation dialog is displayed when the certificate has been successfully exported.

  16. Mantenha o MMC aberto para uso na seção a seguir.Leave the MMC open for use in the following section.

Exportar um certificado para computadores clienteExport a certificate for client computers

Os computadores cliente precisam confiar no emissor do certificado LDAP Seguro para poderem se conectar com êxito ao domínio gerenciado usando o LDAPS.Client computers must trust the issuer of the secure LDAP certificate to be able to connect successfully to the managed domain using LDAPS. Os computadores cliente precisam ter um certificado para criptografar com êxito os dados descriptografados pelo Azure AD DS.The client computers need a certificate to successfully encrypt data that is decrypted by Azure AD DS. Se você usar uma AC pública, o computador deverá confiar automaticamente nesses emissores do certificado e ter um certificado correspondente.If you use a public CA, the computer should automatically trust these certificate issuers and have a corresponding certificate. Neste tutorial, você usou um certificado autoassinado e gerou um certificado que inclui a chave privada na etapa anterior.In this tutorial you use a self-signed certificate, and generated a certificate that includes the private key in the previous step. Agora, vamos exportar e, em seguida, instalar o certificado autoassinado no repositório de certificados confiáveis no computador cliente:Now let's export and then install the self-signed certificate into the trusted certificate store on the client computer:

  1. Volte ao MMC para o repositório Certificados (Computador Local) > Pessoal > Certificados.Go back to the MMC for Certificates (Local Computer) > Personal > Certificates store. O certificado autoassinado criado em uma etapa anterior é mostrado, como contoso.com.The self-signed certificate created in a previous step is shown, such as contoso.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas > Exportar...Right-select this certificate, then choose All Tasks > Export...

  2. No Assistente para Exportação de Certificados, selecione Avançar.In the Certificate Export Wizard, select Next.

  3. Como você não precisa da chave privada para clientes, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e, em seguida, selecione Avançar.As you don't need the private key for clients, on the Export Private Key page choose No, do not export the private key, then select Next.

  4. Na página Formato do Arquivo de Exportação, selecione X.509 codificado em Base64 (.CER) como o formato de arquivo para o certificado exportado:On the Export File Format page, select Base-64 encoded X.509 (.CER) as the file format for the exported certificate:

    Escolha a opção para exportar o certificado no formato de arquivo X.509 codificado em Base64 (.CER)

  5. Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds-client.cer.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds-client.cer.

  6. Na página de revisão, selecione Concluir para exportar o certificado para um arquivo de certificado .CER.On the review page, select Finish to export the certificate to a .CER certificate file. Uma caixa de diálogo de confirmação é exibida quando o certificado é exportado com êxito.A confirmation dialog is displayed when the certificate has been successfully exported.

O arquivo de certificado .CER agora pode ser distribuído para os computadores cliente que precisam confiar na conexão do LDAP Seguro com o domínio gerenciado do Azure AD DS.The .CER certificate file can now be distributed to client computers that need to trust the secure LDAP connection to the Azure AD DS managed domain. Vamos instalar o certificado no computador local.Let's install the certificate on the local computer.

  1. Abra o Explorador de Arquivos e procure a localização em que você salvou o arquivo de certificado .CER, como C:\Users\accountname\azure-ad-ds-client.cer.Open File Explorer and browse to the location where you saved the .CER certificate file, such as C:\Users\accountname\azure-ad-ds-client.cer.

  2. Selecione o arquivo de certificado .CER com o botão direito do mouse e, em seguida, escolha Instalar Certificado.Right-select the .CER certificate file, then choose Install Certificate.

  3. No Assistente para Importação de Certificados, opte por armazenar o certificado no Computador local e, em seguida, selecione Avançar:In the Certificate Import Wizard, choose to store the certificate in the Local machine, then select Next:

    Escolha a opção para importar o certificado para o repositório do computador local

  4. Quando solicitado, escolha Sim para permitir que o computador faça alterações.When prompted, choose Yes to allow the computer to make changes.

  5. Escolha Selecionar automaticamente o repositório de certificados com base no tipo de certificado e, em seguida, selecione Avançar.Choose to Automatically select the certificate store based on the type of certificate, then select Next.

  6. Na página de revisão, selecione Concluir para importar o certificado .CER.On the review page, select Finish to import the .CER certificate. Uma caixa de diálogo de confirmação é exibida quando o certificado é importado com êxito.file A confirmation dialog is displayed when the certificate has been successfully imported.

Habilitar o LDAP Seguro para o Azure AD DSEnable secure LDAP for Azure AD DS

Com um certificado digital criado e exportado que inclua a chave privada e o computador cliente definido para confiar na conexão, agora habilite o LDAP Seguro no domínio gerenciado do Azure AD DS.With a digital certificate created and exported that includes the private key, and the client computer set to trust the connection, now enable secure LDAP on your Azure AD DS managed domain. Para habilitar o LDAP Seguro em um domínio gerenciado do Azure AD DS, execute as seguintes etapas de configuração:To enable secure LDAP on an Azure AD DS managed domain, perform the following configuration steps:

  1. No portal do Azure, pesquise serviços de domínio na caixa Pesquisar recursos.In the Azure portal, search for domain services in the Search resources box. Selecione Azure AD Domain Services nos resultados da pesquisa.Select Azure AD Domain Services from the search result.

    Pesquisar e selecionar o domínio gerenciado do Azure AD DS no portal do Azure

  2. Escolha o domínio gerenciado, como contoso.com.Choose your managed domain, such as contoso.com.

  3. No lado esquerdo da janela do Azure AD DS, escolha LDAP Seguro.On the left-hand side of the Azure AD DS window, choose Secure LDAP.

  4. Por padrão, o acesso LDAP seguro ao seu domínio gerenciado fica desabilitado.By default, secure LDAP access to your managed domain is disabled. Posicione a tecla de alternância LDAP Seguro em Habilitar.Toggle Secure LDAP to Enable.

  5. O acesso do LDAP Seguro ao domínio gerenciado na Internet está desabilitado por padrão.Secure LDAP access to your managed domain over the internet is disabled by default. Quando você habilita o acesso LDAP Seguro público, o domínio fica suscetível a ataques de força bruta de senha na Internet.When you enable public secure LDAP access, your domain is susceptible to password brute force attacks over the internet. Na próxima etapa, um grupo de segurança de rede será configurado para bloquear o acesso somente aos intervalos de endereços IP de origem necessários.In the next step, a network security group is configured to lock down access to only the required source IP address ranges.

    Alterne Permitir acesso LDAP Seguro na Internet como Habilitar.Toggle Allow secure LDAP access over the internet to Enable.

  6. Selecione o ícone de pasta ao lado do arquivo .PFX com certificado LDAP seguro.Select the folder icon next to .PFX file with secure LDAP certificate. Procure o caminho do arquivo .PFX e, em seguida, selecione o certificado criado em uma etapa anterior que inclua a chave privada.Browse to the path of the .PFX file, then select the certificate created in a previous step that includes the private key.

    Conforme observado na seção anterior sobre requisitos de certificado, não é possível usar um certificado de uma AC pública com o domínio padrão .onmicrosoft.com.As noted in the previous section on certificate requirements, you can't use a certificate from a public CA with the default .onmicrosoft.com domain. A Microsoft é proprietária do domínio .onmicrosoft.com, portanto, uma AC pública não emitirá um certificado.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Verifique se o certificado está no formato apropriado.Make sure your certificate is in the appropriate format. Caso contrário, a plataforma Azure gerará erros de validação de certificado quando você habilitar o LDAP Seguro.If it's not, the Azure platform generates certificate validation errors when you enable secure LDAP.

  7. Insira a Senha para descriptografar o arquivo .PFX definida em uma etapa anterior quando o certificado foi exportado para um arquivo .PFX.Enter the Password to decrypt .PFX file set in a previous step when the certificate was exported to a .PFX file.

  8. Selecione Salvar para habilitar o LDAP Seguro.Select Save to enable secure LDAP.

    Habilitar o LDAP Seguro para um domínio gerenciado do Azure AD DS no portal do Azure

Uma notificação é exibida, informando que o LDAP Seguro está sendo configurado para o domínio gerenciado.A notification is displayed that secure LDAP is being configured for the managed domain. Você não poderá modificar outras configurações do domínio gerenciado enquanto essa operação não for concluída.You can't modify other settings for the managed domain until this operation is complete.

São necessários alguns minutos para habilitar o LDAP Seguro para o domínio gerenciado.It takes a few minutes to enable secure LDAP for your managed domain. Se o certificado LDAP Seguro fornecido não corresponder aos critérios obrigatórios, a ação para habilitar o LDAP Seguro para o domínio gerenciado falhará.If the secure LDAP certificate you provide doesn't match the required criteria, the action to enable secure LDAP for the managed domain fails. Alguns motivos comuns de falha incluem um nome de domínio incorreto ou um certificado já expirado ou prestes a expirar.Some common reasons for failure are if the domain name is incorrect, or the certificate expires soon or has already expired. Você pode recriar o certificado com parâmetros válidos e, em seguida, habilitar o LDAP Seguro usando esse certificado atualizado.You can re-create the certificate with valid parameters, then enable secure LDAP using this updated certificate.

Bloquear o acesso LDAP Seguro na InternetLock down secure LDAP access over the internet

Quando você habilita o acesso LDAP Seguro na Internet para o domínio gerenciado do Azure AD DS, isso cria uma ameaça de segurança.When you enable secure LDAP access over the internet to your Azure AD DS managed domain, it creates a security threat. O domínio gerenciado pode ser acessado pela Internet na porta TCP 636.The managed domain is reachable from the internet on TCP port 636. É recomendável restringir o acesso ao domínio gerenciado aos endereços IP conhecidos específicos para o ambiente.It's recommended to restrict access to the managed domain to specific known IP addresses for your environment. Uma regra de grupo de segurança de rede do Azure pode ser usada para limitar o acesso ao LDAP Seguro.An Azure network security group rule can be used to limit access to secure LDAP.

Vamos criar uma regra para permitir o acesso LDAP Seguro de entrada pela porta TCP 636 em um conjunto especificado de endereços IP.Let's create a rule to allow inbound secure LDAP access over TCP port 636 from a specified set of IP addresses. Uma regra DenyAll padrão de prioridade mais baixa se aplica a todos os outros tipo de tráfego de entrada na Internet, de modo que somente os endereços especificados possam acessar o domínio gerenciado do Azure AD DS usando o LDAP Seguro.A default DenyAll rule with a lower priority applies to all other inbound traffic from the internet, so only the specified addresses can reach your Azure AD DS managed domain using secure LDAP.

  1. No portal do Azure, selecione Grupos de recursos na barra de navegação do lado esquerdo.In the Azure portal, select Resource groups on the left-hand side navigation.

  2. Escolha o grupo de recursos, como myResourceGroup e, em seguida, selecione o grupo de segurança de rede, como AADDS-contoso.com-NSG.Choose you resource group, such as myResourceGroup, then select your network security group, such as AADDS-contoso.com-NSG.

  3. A lista de regras de segurança de entrada e saída existentes é exibida.The list of existing inbound and outbound security rules are displayed. No lado esquerdo das janelas do grupo de segurança de rede, escolha Segurança > Regras de segurança de entrada.On the left-hand side of the network security group windows, choose Security > Inbound security rules.

  4. Selecione Adicionar e, em seguida, crie uma regra para permitir a porta TCP 636.Select Add, then create a rule to allow TCP port 636. Para maior segurança, escolha a origem como Endereços IP e, em seguida, especifique seu próprio intervalo ou endereço IP válido para sua organização.For improved security, choose the source as IP Addresses and then specify your own valid IP address or range for your organization.

    ConfiguraçãoSetting ValorValue
    FonteSource Endereços IPIP Addresses
    Endereços IP de origem/Intervalos de CIDRSource IP addresses / CIDR ranges Um intervalo ou um endereço IP válido para o ambienteA valid IP address or range for your environment
    Intervalos de portas de origemSource port ranges *
    DestinoDestination QualquerAny
    Intervalos de portas de destinoDestination port ranges 636636
    ProtocoloProtocol TCPTCP
    AçãoAction PERMITIRAllow
    PrioridadePriority 401401
    NOMEName AllowLDAPSAllowLDAPS
  5. Quando estiver pronto, selecione Adicionar para salvar e aplicar a regra.When ready, select Add to save and apply the rule.

    Criar uma regra de grupo de segurança de rede para proteger o acesso LDAPS na Internet

Configurar a zona DNS para acesso externoConfigure DNS zone for external access

Com o acesso LDAP Seguro habilitado na Internet, atualize a zona DNS para que os computadores cliente possam encontrar esse domínio gerenciado.With secure LDAP access enabled over the internet, update the DNS zone so that client computers can find this managed domain. O Endereço IP externo do LDAP Seguro está listado na guia Propriedades do domínio gerenciado do Azure AD DS:The Secure LDAP external IP address is listed on the Properties tab for your Azure AD DS managed domain:

Exiba o endereço IP externo do LDAP Seguro para o domínio gerenciado do Azure AD DS no portal do Azure

Configure o provedor DNS externo para criar um registro de host, como ldaps, para fazer a resolução para esse endereço IP externo.Configure your external DNS provider to create a host record, such as ldaps, to resolve to this external IP address. Para testar localmente no computador primeiro, crie uma entrada no arquivo de hosts do Windows.To test locally on your machine first, you can create an entry in the Windows hosts file. Para editar com êxito o arquivo de hosts no computador local, abra o Bloco de notas como administrador e, em seguida, abra o arquivo C:\Windows\System32\drivers\etcTo successfully edit the hosts file on your local machine, open Notepad as an administrator, then open the file C:\Windows\System32\drivers\etc

A seguinte entrada DNS de exemplo, com o provedor DNS externo ou no arquivo de hosts local, resolve o tráfego de ldaps.contoso.com para o endereço IP externo 40.121.19.239:The following example DNS entry, either with your external DNS provider or in the local hosts file, resolves traffic for ldaps.contoso.com to the external IP address of 40.121.19.239:

40.121.19.239    ldaps.contoso.com

Testar consultas para o domínio gerenciadoTest queries to the managed domain

Para se conectar e se associar ao domínio gerenciado do Azure AD DS e pesquisar no LDAP, use o LDP.exe também.To connect and bind to your Azure AD DS managed domain and search over LDAP, you use the LDP.exe too. Essa ferramenta está incluída no pacote das Ferramentas de Administração de Servidor Remoto.This tool is included in the Remote Server Administration Tools (RSAT) package. Para obter mais informações, confira Instalar Ferramentas de Administração de Servidor Remoto.For more information, see install Remote Server Administration Tools.

  1. Abra LDP.exe e conecte-se ao domínio gerenciado.Open LDP.exe and connect to the managed domain. Selecione Conexão e, em seguida, escolha Conectar... .Select Connection, then choose Connect....
  2. Insira o nome de domínio DNS do LDAP Seguro do domínio gerenciado criado na etapa anterior, como ldaps.contoso.com.Enter the secure LDAP DNS domain name of your managed domain created in the previous step, such as ldaps.contoso.com. Para usar o LDAP Seguro, defina Porta como 636 e marque a caixa de SSL.To use secure LDAP, set Port to 636, then check the box for SSL.
  3. Selecione OK para se conectar ao domínio gerenciado.Select OK to connect to the managed domain.

Em seguida, faça a associação ao domínio gerenciado do Azure AD DS.Next, bind to your Azure AD DS managed domain. Os usuários (e as contas de serviço) não poderão executar associações LDAP simples se você desabilitar a sincronização de hash de senha NTLM na instância do Azure AD DS.Users (and service accounts) can't perform LDAP simple binds if you have disabled NTLM password hash synchronization on your Azure AD DS instance. Para obter mais informações sobre como desabilitar a sincronização de hash de senha NTLM, confira Proteger o domínio gerenciado do Azure AD DS.For more information on disabling NTLM password hash synchronization, see Secure your Azure AD DS managed domain.

  1. Selecione a opção de menu Conexão e, em seguida, escolha Associar... .Select the Connection menu option, then choose Bind....
  2. Forneça as credenciais de uma conta de usuário que pertence ao grupo Administradores de controlador de domínio do AAD, como contosoadmin.Provide the credentials of a user account belonging to the AAD DC Administrators group, such as contosoadmin. Insira a senha da conta de usuário e, em seguida, o domínio, como contoso.com.Enter the user account's password, then enter your domain, such as contoso.com.
  3. Em Tipo de associação, escolha a opção Associar com credenciais.For Bind type, choose the option for Bind with credentials.
  4. Selecione OK para fazer a associação ao domínio gerenciado do Azure AD DS.Select OK to bind to your Azure AD DS managed domain.

Para ver os objetos armazenados no domínio gerenciado do Azure AD DS:To see of the objects stored in your Azure AD DS managed domain:

  1. Selecione a opção de menu Exibir e, em seguida, escolha Árvore.Select the View menu option, and then choose Tree.

  2. Deixe o campo BaseDN em branco e, em seguida, selecione OK.Leave the BaseDN field blank, then select OK.

  3. Escolha um contêiner, como Usuários do AADDC e, em seguida, selecione o contêiner com o botão direito do mouse e escolha Pesquisar.Choose a container, such as AADDC Users, then right-select the container and choose Search.

  4. Deixe os campos pré-populados definidos e, em seguida, selecione Executar.Leave the pre-populated fields set, then select Run. Os resultados da consulta são mostrados na janela à direita.The results of the query are shown in the right-hand window.

    Pesquisar objetos no domínio gerenciado do Azure AD DS usando LDP.exe

Para consultar diretamente um contêiner específico, no menu Exibir > Árvore, especifique um BaseDN, como OU=Usuários do AADDC,DC=CONTOSO,DC=COM ou OU=Computadores do AADDC,DC=CONTOSO,DC=COM.To directly query a specific container, from the View > Tree menu, you can specify a BaseDN such as OU=AADDC Users,DC=CONTOSO,DC=COM or OU=AADDC Computers,DC=CONTOSO,DC=COM. Para obter mais informações sobre como formatar e criar consultas, confira Conceitos básicos sobre consultas LDAP.For more information on how to format and create queries, see LDAP query basics.

Limpar recursosClean up resources

Se você adicionou uma entrada DNS ao arquivo de hosts local do computador para testar a conectividade para este tutorial, remova essa entrada e adicione um registro formal na zona DNS.If you added a DNS entry to the local hosts file of your computer to test connectivity for this tutorial, remove this entry and add a formal record in your DNS zone. Para remover a entrada do arquivo de hosts local, conclua as seguintes etapas:To remove the entry from the local hosts file, complete the following steps:

  1. No computador local, abra o Bloco de notas como administradorOn your local machine, open Notepad as an administrator
  2. Procure e abra o arquivo C:\Windows\System32\drivers\etcBrowse to and open the file C:\Windows\System32\drivers\etc
  3. Exclua a linha do registro adicionado, como 40.121.19.239 ldaps.contoso.comDelete the line for the record you added, such as 40.121.19.239 ldaps.contoso.com

Próximas etapasNext steps

Neste tutorial, você aprendeu como:In this tutorial, you learned how to:

  • Criar um certificado digital para uso com o Azure AD DSCreate a digital certificate for use with Azure AD DS
  • Habilitar o LDAP Seguro para o Azure AD DSEnable secure LDAP for Azure AD DS
  • Configurar o LDAP Seguro para uso na Internet públicaConfigure secure LDAP for use over the public internet
  • Associar e testar o LDAP Seguro para um domínio gerenciado do Azure AD DSBind and test secure LDAP for an Azure AD DS managed domain