Kända problem: säkert LDAP aviseringar i Azure Active Directory Domain Services

  • Artikel
  • 2 minuter för att läsa

Program och tjänster som använder LDAP (Lightweight Directory Access Protocol) för att kommunicera med Azure Active Directory Domain Services (Azure AD DS) kan konfigureras för att använda säker LDAP. Ett lämpligt certifikat och nödvändiga nätverks portar måste vara öppna för att säker LDAP ska fungera korrekt.

Den här artikeln hjälper dig att förstå och lösa vanliga aviseringar med säker LDAP-åtkomst i Azure AD DS.

AADDS101: säkert LDAP nätverks konfiguration

Aviserings meddelande

Säkert LDAP över Internet är aktiverat för den hanterade domänen. Åtkomst till port 636 är dock inte låst med en nätverks säkerhets grupp. Detta kan innebära att användar konton på den hanterade domänen används för lösen ords brutet angrepp.

Lösning

När du aktiverar säker LDAP rekommenderar vi att du skapar ytterligare regler som begränsar inkommande LDAPs åtkomst till vissa IP-adresser. Reglerna skyddar den hanterade domänen från brute force-attacker. Utför följande steg för att uppdatera nätverks säkerhets gruppen så att den begränsar TCP-port 636-åtkomst för säker LDAP:

  1. Sök efter och välj nätverks säkerhets grupper i Azure Portal.
  2. Välj den nätverks säkerhets grupp som är kopplad till din hanterade domän, t. ex. AADDS-contoso.com-NSG, och välj sedan inkommande säkerhets regler
  3. Välj + Lägg till för att skapa en regel för TCP-port 636. Om det behövs väljer du Avancerat i fönstret för att skapa en regel.
  4. För källan väljer du IP-adresser på den nedrullningsbara menyn. Ange de käll-IP-adresser som du vill bevilja åtkomst för säker LDAP-trafik.
  5. Välj valfri som mål och ange sedan 636 för mål ports intervall.
  6. Ange protokollet som TCP och åtgärden som ska tillåtas.
  7. Ange regelns prioritet och ange sedan ett namn som RestrictLDAPS.
  8. När du är klar väljer du Lägg till för att skapa regeln.

Den hanterade domänens hälsa uppdateras automatiskt inom två timmar och aviseringen tas bort.

Tips

TCP-port 636 är inte den enda regeln som krävs för att Azure AD DS ska kunna köras smidigt. Mer information finns i nätverks säkerhets grupper för Azure AD DS och de portar som krävs.

AADDS502: säkert LDAP certifikat upphör att gälla

Aviserings meddelande

Det säkra LDAP-certifikatet för den hanterade domänen upphör att gälla [datum]].

Lösning

Skapa ett nytt, säkert LDAP-certifikat genom att följa stegen för att skapa ett certifikat för säker LDAP. Tillämpa ersättnings certifikatet på Azure AD DS och distribuera certifikatet till alla klienter som ansluter med hjälp av säker LDAP.

Nästa steg

Om du fortfarande har problem öppnar du en support förfrågan för Azure om du behöver ytterligare fel sökning.