öğretici: Azure Active Directory etki alanı hizmetleri tarafından yönetilen etki alanı için güvenli LDAP yapılandırma

  • Makale
  • Okumak için 14 dakika

Azure Active Directory etki alanı hizmetleri (Azure AD DS) tarafından yönetilen etki alanı ile iletişim kurmak için, hafif dizin erişim protokolü (LDAP) kullanılır. Varsayılan olarak, LDAP trafiği şifrelenmez, bu da birçok ortamda bir güvenlik konusudur.

Azure AD DS ile, yönetilen etki alanını güvenli basit Dizin Erişim Protokolü (LDAPS) kullanacak şekilde yapılandırabilirsiniz. Güvenli LDAP kullandığınızda trafik şifrelenir. Güvenli LDAP, Güvenli Yuva Katmanı (SSL)/Aktarım Katmanı Güvenliği (TLS) üzerinden LDAP olarak da bilinir.

Bu öğreticide, Azure AD DS yönetilen bir etki alanı için LDAPS 'nin nasıl yapılandırılacağı gösterilmektedir.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Azure AD DS ile kullanmak için dijital bir sertifika oluşturun
  • Azure AD DS için Güvenli LDAP 'yi etkinleştirme
  • Genel internet üzerinden kullanılmak üzere Güvenli LDAP yapılandırma
  • Yönetilen bir etki alanı için Güvenli LDAP bağlama ve test etme

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:

Azure portalında oturum açın

Bu öğreticide, Azure portal kullanarak yönetilen etki alanı için Güvenli LDAP yapılandırırsınız. Başlamak için öncelikle Azure Portaloturum açın.

Güvenli LDAP için bir sertifika oluşturma

Güvenli LDAP kullanmak için, iletişimi şifrelemek için dijital bir sertifika kullanılır. Bu dijital sertifika, yönetilen etki alanına uygulanır ve LDP.exe gibi araçların verileri sorgularken güvenli şifreli iletişim kullanmasına olanak sağlar. Yönetilen etki alanına Güvenli LDAP erişimi için sertifika oluşturmanın iki yolu vardır:

  • Bir genel sertifika yetkilisinden (CA) veya kuruluş CA 'dan bir sertifika.
    • Kuruluşunuz ortak bir CA 'dan sertifika alırsa, bu genel CA 'dan Güvenli LDAP sertifikası alın. Kuruluşunuzda kurumsal bir CA kullanıyorsanız, kurumsal CA 'dan Güvenli LDAP sertifikası alın.
    • Ortak CA yalnızca, yönetilen etki alanınız ile özel bir DNS adı kullandığınızda işe yarar. Yönetilen etki alanının DNS etki alanı adı . onmicrosoft.com ile biterse, bu varsayılan etki alanı ile bağlantıyı güvenli hale getirmek için dijital bir sertifika oluşturamazsınız. Microsoft, . onmicrosoft.com etki alanına sahipdir, bu nedenle ortak CA bir sertifika vermez. Bu senaryoda, otomatik olarak imzalanan bir sertifika oluşturun ve bunu güvenli LDAP 'yi yapılandırmak için kullanın.
  • Kendi oluşturduğunuz otomatik olarak imzalanan bir sertifika.
    • Bu yaklaşım, test amaçları için uygundur ve Bu öğreticinin gösterdiği şeydir.

İsteğiniz veya oluşturduğunuz sertifikanın aşağıdaki gereksinimleri karşılaması gerekir. Güvenli LDAP 'yi geçersiz bir sertifikayla etkinleştirirseniz, yönetilen etki alanınız sorunlarla karşılaşır:

  • Güvenilir veren -sertifika, Güvenli LDAP kullanılarak yönetilen etki alanına bağlanan bilgisayarlar tarafından güvenilen bir yetkili tarafından verilmelidir. bu yetkili, genel bir ca veya bu bilgisayarlar tarafından güvenilen bir Enterprise CA olabilir.
  • Yaşam süresi -sertifika en az sonraki 3-6 ay için geçerli olmalıdır. Sertifikanın süresi dolarsa, yönetilen etki alanınız için Güvenli LDAP erişimi bozulur.
  • Konu adı -sertifikadaki Konu adı, yönetilen etki alanınız olmalıdır. Örneğin, etki alanınız aaddscontoso.com olarak adlandırılmışsa, sertifikanın konu adı *. aaddscontoso.com olmalıdır.
    • Güvenli LDAP 'nin Azure AD Domain Services ile düzgün şekilde çalıştığından emin olmak için sertifikanın DNS adı veya konu diğer adı bir joker sertifika olmalıdır. Etki alanı denetleyicileri rastgele adlar kullanır ve hizmetin kullanılabilir durumda kalmasını sağlamak için kaldırılabilir veya eklenebilir.
  • Anahtar kullanımı -sertifika, dijital imzalar ve anahtar şifrelemesi için yapılandırılmış olmalıdır.
  • Sertifika amacı -SERTIFIKA, TLS sunucu kimlik doğrulaması için geçerli olmalıdır.

OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate cmdlet vb. gibi otomatik olarak imzalanan sertifika oluşturmak için kullanabileceğiniz çeşitli araçlar vardır.

Bu öğreticide, New-SelfSignedCertificate cmdlet 'ini kullanarak Güvenli LDAP için otomatik olarak imzalanan bir sertifika oluşturalım.

Yönetici olarak bir PowerShell penceresi açın ve aşağıdaki komutları çalıştırın. $DnsName değişkenini, aaddscontoso.com gibi kendi yönetilen etkı alanınız tarafından kullanılan DNS adıyla değiştirin:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Aşağıdaki örnek çıktı, sertifikanın başarıyla oluşturulduğunu ve yerel sertifika deposunda (Localmachine) depolandığını gösterir:

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Gerekli sertifikaları anlama ve dışarı aktarma

Güvenli LDAP kullanmak için ağ trafiği, ortak anahtar altyapısı (PKI) kullanılarak şifrelenir.

  • Yönetilen etki alanına özel bir anahtar uygulanır.
    • Bu özel anahtar, Güvenli LDAP trafiğinin şifresini çözmek için kullanılır. Özel anahtar yalnızca yönetilen etki alanına uygulanmalıdır ve istemci bilgisayarlara yaygın olarak dağıtılmamalıdır.
    • Özel anahtarı içeren bir sertifika ' nı kullanır . PFX dosya biçimi.
    • Sertifika dışarı aktarılırken, TripleDES-SHA1 şifreleme algoritmasını belirtmeniz gerekir. Bu yalnızca. pfx dosyası için geçerlidir ve sertifikanın kendisi tarafından kullanılan algoritmayı etkilemez. TripleDES-SHA1 seçeneğinin yalnızca Windows Server 2016 başlayarak kullanılabilir olduğunu unutmayın.
  • İstemci bilgisayarlara ortak anahtar uygulanır.
    • Bu ortak anahtar, Güvenli LDAP trafiğini şifrelemek için kullanılır. Ortak anahtar istemci bilgisayarlara dağıtılabilir.
    • Özel anahtarı olmayan Sertifikalar ' i kullanır . CER dosya biçimi.

Bu iki anahtar, özel ve genel anahtarlar, yalnızca ilgili bilgisayarların birbirleriyle başarıyla iletişim kurabildiğinden emin olun. Ortak bir CA veya kuruluş CA 'sı kullanıyorsanız, özel anahtarı içeren ve yönetilen bir etki alanına uygulanabilen bir sertifikayla birlikte vermiş olursunuz. Ortak anahtar, istemci bilgisayarlar tarafından zaten bilinen ve güvenilen olmalıdır.

Bu öğreticide, özel anahtarla kendinden imzalı bir sertifika oluşturdunuz, bu nedenle uygun özel ve ortak bileşenleri dışarı aktarmanız gerekir.

Azure AD DS için bir sertifika dışarı aktarma

Yönetilen etki alanınız ile önceki adımda oluşturulan dijital sertifikayı kullanabilmeniz için, sertifikayı bir öğesine dışarı aktarın . Özel anahtarı IÇEREN PFX Sertifika dosyası.

  1. çalıştır iletişim kutusunu açmak için Windows + R tuşlarını seçin.

  2. Çalıştır iletişim kutusuna MMC girerek Microsoft YÖNETIM konsolu 'nu (MMC) açın ve Tamam' ı seçin.

  3. Kullanıcı hesabı denetimi ISTEMINDE, MMC 'yi yönetici olarak başlatmak için Evet ' i seçin.

  4. Dosya menüsünde, ek bileşen Ekle/Kaldır ' ı seçin...

  5. Sertifikalar ek bileşeni sihirbazında bilgisayar hesabı' nı seçin ve ardından İleri' yi seçin.

  6. Bilgisayar Seç sayfasında, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) öğesini seçin ve ardından son' u seçin.

  7. Ek bileşenleri Ekle veya Kaldır iletişim kutusunda, MMC 'ye Sertifikalar ek bileşenini eklemek için Tamam ' ı seçin.

  8. MMC penceresinde konsol kökü' ni genişletin. Sertifikalar (yerel bilgisayar)' ı seçin, ardından Kişisel düğümünü ve ardından Sertifikalar düğümünü genişletin.

    Microsoft Yönetim Konsolu 'nda kişisel sertifikalar deposunu açın

  9. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika aaddscontoso.com gibi gösterilir. Bu sertifikayı sağ seçin ve ardından dışarı aktar > tüm görevler ' i seçin...

    Microsoft Yönetim Konsolu 'nda sertifikayı dışarı aktarma

  10. Sertifika dışarı aktarma sihirbazında İleri' yi seçin.

  11. Sertifika için özel anahtar verilmelidir. Özel anahtar, dışarıya aktarılmış sertifikaya dahil edilmediğinde, yönetilen etki alanınız için Güvenli LDAP 'yi etkinleştirme eylemi başarısız olur.

    Özel anahtarı dışarı aktar sayfasında Evet, özel anahtarı dışarı aktar' ı seçin ve ardından İleri' yi seçin.

  12. Yönetilen etki alanları yalnızca ' i destekler . Özel anahtarı IÇEREN PFX Sertifika dosyası biçimi. Sertifikayı olarak dışarı aktarmayın . Özel anahtar olmadan cer sertifika dosyası biçimi.

    dışarı aktarma dosya biçimi sayfasında, kişisel bilgiler Exchange-PKCS #12 (. PFX) , dışarıya aktarılmış sertifikanın dosya biçimi olarak. Mümkünse sertifika yolundaki tüm sertifikaları Ekle onay kutusunu işaretleyin:

    Sertifikayı PKCS 12 ' de dışarı aktarma seçeneğini belirleyin (. PFX) dosya biçimi

  13. Bu sertifika verilerin şifresini çözmek için kullanıldığından, erişimi dikkatle kontrol etmeniz gerekir. Sertifika kullanımını korumak için bir parola kullanılabilir. Doğru parola olmadan sertifika bir hizmete uygulanamaz.

    Güvenlik sayfasında, korumak için parola seçeneğini belirleyin . PFX sertifika dosyası. Şifreleme algoritması TripleDES-SHA1 olmalıdır. Bir parola girin ve onaylayın, ardından İleri' yi seçin. Bu parola, yönetilen etki alanınız için Güvenli LDAP özelliğini etkinleştirmek üzere bir sonraki bölümde kullanılır.

    PowerShell Export-pfxsertifikası cmdlet 'inikullanarak dışa aktardığınızda, TripleDES_SHA1 kullanarak -CryptoAlgorithmOption bayrağını geçirmeniz gerekir.

    Parolanın nasıl şifrelendiğinin ekran görüntüsü

  14. Dışarı aktarılacak dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumunu belirtin, örneğin C:\Users\accountname\azure-AD-DS.pfx. Parolasını ve konumunu bir yere göz önünde bulundurun . Bu bilgilerin sonraki adımlarda kullanılması IÇIN pfx dosyası.

  15. Gözden geçirme sayfasında, sertifikayı bir öğesine aktarmak için son ' u seçin . PFX sertifika dosyası. Sertifika başarıyla verildiğinde bir onay iletişim kutusu görüntülenir.

  16. Aşağıdaki bölümde MMC 'YI kullanılmak üzere açık bırakın.

İstemci bilgisayarlar için bir sertifika dışarı aktarma

İstemci bilgisayarların, LDAPS kullanarak yönetilen etki alanına başarıyla bağlanabilmek için Güvenli LDAP sertifikasını verene güvenmesi gerekir. İstemci bilgisayarların, Azure AD DS tarafından şifresi çözülen verileri başarıyla şifreleyebilmesi için bir sertifikaya ihtiyacı vardır. Ortak CA kullanıyorsanız, bilgisayar bu sertifika verenler için otomatik olarak güvenmeli ve karşılık gelen bir sertifikaya sahip olmalıdır.

Bu öğreticide, kendinden imzalı bir sertifika kullanırsınız ve önceki adımda özel anahtarı içeren bir sertifika oluşturmuş olursunuz. Şimdi, otomatik olarak imzalanan sertifikayı dışarı aktarıp istemci bilgisayardaki güvenilir sertifika deposuna yükleyelim:

  1. Sertifikalar (yerel bilgisayar) IÇIN MMC ' > kişisel > sertifikaları deposu ' na geri dönün. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika aaddscontoso.com gibi gösterilir. Bu sertifikayı sağ seçin ve ardından dışarı aktar > tüm görevler ' i seçin...

  2. Sertifika dışarı aktarma sihirbazında İleri' yi seçin.

  3. İstemciler için özel anahtara ihtiyacınız olmadığı için, özel anahtarı dışarı aktar sayfasında Hayır, özel anahtarı dışarı aktarma' yı seçin ve ardından İleri' yi seçin.

  4. Dışarı aktarma dosyası biçimi sayfasında Base-64 Encoded X. 509.440 (. CER) , şu sertifika için dosya biçimi olarak:

    Sertifikayı dışarı aktarma seçeneğini belirleyin-64 Encoded X. 509.440 (. CER) dosya biçimi

  5. Dışarı aktarılacak dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumunu belirtin, örneğin C:\Users\accountname\azure-AD-DS-Client.cer.

  6. Gözden geçirme sayfasında, sertifikayı bir öğesine aktarmak için son ' u seçin . CER sertifika dosyası. Sertifika başarıyla verildiğinde bir onay iletişim kutusu görüntülenir.

. CER sertifika dosyası artık yönetilen etki alanı ile GÜVENLI LDAP bağlantısına güvenmesi gereken istemci bilgisayarlara dağıtılabilir. Sertifikayı yerel bilgisayara yükleyelim.

  1. Dosya Gezgini 'ni açın ve kaydettiğiniz konuma gidin . C:\USERS\ACCOUNTNAME\AZURE-AD-DS-CLIENT.cer gibi cer sertifika dosyası.

  2. Sağ seçin . CER sertifika dosyası, ardından sertifikayı yükler' i seçin.

  3. Sertifika Içeri aktarma sihirbazında, sertifikayı Yerel makinede depolamayı seçin ve ardından İleri' yi seçin:

    Sertifikayı yerel makine deposuna aktarma seçeneğini belirleyin

  4. İstendiğinde, bilgisayarın değişiklik yapmasına izin vermek için Evet ' i seçin.

  5. Sertifika deposunu sertifika türüne göre otomatik olarak seçip seçin ve ardından İleri' yi seçin.

  6. İnceleme sayfasında, öğesini içeri aktarmak için son ' u seçin . CER sertifikası. sertifika başarıyla içeri aktarıldığında, dosya onay iletişim kutusu görüntülenir.

Azure AD DS için Güvenli LDAP 'yi etkinleştirme

Özel anahtarı içeren ve istemci bilgisayar bağlantıya güvenmek üzere ayarlanmış olan dijital bir sertifika oluşturulup verildikten sonra, yönetilen etki alanında güvenli LDAP özelliğini etkinleştirin. Yönetilen bir etki alanında güvenli LDAP özelliğini etkinleştirmek için aşağıdaki yapılandırma adımlarını gerçekleştirin:

  1. Azure Portal, kaynakları ara kutusuna etki alanı Hizmetleri ' ni girin. Arama sonuçlarından Azure AD Domain Services seçin.

  2. Aaddscontoso.com gibi yönetilen etki alanınızı seçin.

  3. Azure AD DS penceresinin sol tarafında Güvenli LDAP' i seçin.

  4. Varsayılan olarak, yönetilen etki alanınız için Güvenli LDAP erişimi devre dışı bırakılır. Etkinleştirmek için Güvenli LDAP değiştirin.

  5. Internet üzerinden yönetilen etki alanınız Güvenli LDAP erişimi varsayılan olarak devre dışıdır. Genel Güvenli LDAP erişimini etkinleştirdiğinizde, etki alanınız Internet üzerinden parola deneme yanılma saldırılarına açıktır. Bir sonraki adımda, ağ güvenlik grubu, erişimi yalnızca gerekli kaynak IP adresi aralıklarına kilitleyecek şekilde yapılandırılmıştır.

    Internet üzerinden GÜVENLI LDAP erişimine Izin ver ' i etkinleştirmek için değiştirin.

  6. Yanındaki klasör simgesini seçin . Güvenli LDAP sertifikası olan PFX dosyası. Yoluna gidin . PFX dosyası, ardından özel anahtarı içeren önceki bir adımda oluşturulan sertifikayı seçin.

    Önemli

    Sertifika gereksinimlerinin önceki bölümünde belirtildiği gibi, varsayılan . onmicrosoft.com etki alanı ile genel bir CA 'dan bir sertifika kullanamazsınız. Microsoft, . onmicrosoft.com etki alanına sahipdir, bu nedenle ortak CA bir sertifika vermez.

    Sertifikanızın uygun biçimde olduğundan emin olun. Aksi takdirde, Azure platformu, Güvenli LDAP 'yi etkinleştirdiğinizde sertifika doğrulama hataları oluşturur.

  7. Şifresini çözmek Için parolayı girin. Sertifika bir ' a aktarıldığında önceki bir adımda ayarlanan pfx dosyası . PFX dosyası.

  8. Güvenli LDAP özelliğini etkinleştirmek için Kaydet ' i seçin.

    Azure portal yönetilen bir etki alanı için Güvenli LDAP 'yi etkinleştirme

Yönetilen etki alanı için Güvenli LDAP 'nin yapılandırılmakta olduğu bir bildirim görüntülenir. Bu işlem tamamlanana kadar, yönetilen etki alanının diğer ayarlarını değiştiremezsiniz.

Yönetilen etki alanınız için Güvenli LDAP 'nin etkinleştirilmesi birkaç dakika sürer. Sağladığınız Güvenli LDAP sertifikası gerekli ölçütlere uymuyorsa, yönetilen etki alanı için Güvenli LDAP 'yi etkinleştirme eylemi başarısız olur.

Hata için bazı yaygın nedenler, etki alanı adının hatalı olması, sertifika için şifreleme algoritmasının üç aylık olmaması veya sertifikanın süresi yakında sona ermesinin süresinin dolması veya zaten süresinin dolması olabilir. Sertifikayı geçerli parametrelerle yeniden oluşturabilir ve ardından bu güncelleştirilmiş sertifikayı kullanarak Güvenli LDAP 'yi etkinleştirebilirsiniz.

Süresi dolan bir sertifikayı değiştirme

  1. GÜVENLI LDAP için sertifika oluşturmaadımlarını izleyerek yeni BIR Güvenli LDAP sertifikası oluşturun.
  2. Yerine konacak sertifikayı Azure AD DS uygulamak için, Azure portal Azure AD DS sol menüsünde Güvenli LDAP' i seçin ve Sertifikayı Değiştir' i seçin.
  3. Sertifikayı, Güvenli LDAP kullanarak bağlanan istemcilere dağıtın.

İnternet üzerinden güvenli LDAP erişimini kilitleme

Yönetilen etki alanınızı Internet üzerinden güvenli LDAP erişimini etkinleştirdiğinizde, bir güvenlik tehdidi oluşturur. Yönetilen etki alanına TCP bağlantı noktası 636 ' deki internet üzerinden erişilebilir. Yönetilen etki alanına erişimi, ortamınız için belirli bilinen IP adresleriyle kısıtlamanız önerilir. Azure ağ güvenlik grubu kuralı, erişimi Güvenli LDAP ile sınırlamak için kullanılabilir.

Belirli bir IP adresi kümesinden TCP bağlantı noktası 636 üzerinden gelen güvenli LDAP erişimine izin vermek için bir kural oluşturalım. Varsayılan bir denyall kuralı, internet 'ten gelen diğer tüm trafik için geçerlidir; bu nedenle, yalnızca belirtilen adresler, Güvenli LDAP kullanarak yönetilen etki alanınız ile iletişime geçebilirler.

  1. Azure portal sol taraftaki gezinmede kaynak grupları ' nı seçin.

  2. Kaynak grubunuzu ( Myresourcegroup gibi) seçin ve ardından aaads-NSG gibi ağ güvenlik grubunuzu seçin.

  3. Mevcut gelen ve giden güvenlik kurallarının listesi görüntülenir. ağ güvenlik grubu penceresinin sol tarafında, Ayarlar > gelen güvenlik kuralları' nı seçin.

  4. Ekle' yi seçin ve TCP bağlantı noktası 636' e izin vermek için bir kural oluşturun Gelişmiş güvenlik için, kaynağı IP adresleri olarak seçin ve ardından KURULUŞUNUZUN geçerli IP adresini veya aralığını belirtin.

    Ayar Değer
    Kaynak IP Adresleri
    Kaynak IP adresleri/CıDR aralıkları Ortamınız için geçerli bir IP adresi veya aralığı
    Kaynak bağlantı noktası aralıkları *
    Hedef Herhangi bir
    Hedef bağlantı noktası aralıkları 636
    Protokol TCP
    Eylem İzin Ver
    Öncelik 401
    Name AllowLDAPS

  5. Hazır olduğunda, kuralı kaydetmek ve uygulamak için Ekle'yi seçin.

    İnternet üzerinden LDAPS erişiminin güvenliğini sağlamak için ağ güvenlik grubu kuralı oluşturma

Dış erişim için DNS bölgesi yapılandırma

İnternet üzerinden güvenli LDAP erişimi etkinleştirildiğinde, istemci bilgisayarların bu yönetilen etki alanını bulmasını sağlamak için DNS bölgesini güncelleştirin. Yönetilen Güvenli LDAP ip adresi yönetilen etki alanınız için Özellikler sekmesinde listelenir:

Yönetilen etki alanınız için güvenli LDAP dış IP adresini Azure portal

Dış DNS sağlayıcınızı, bu dış IP adresine çözümlemek için ldaps gibi bir konak kaydı oluşturmak üzere yapılandırma. İlk olarak makineniz üzerinde yerel olarak test etmek için konaklar dosyasında Windows oluşturabilirsiniz. Yerel makinenizin hosts dosyasını başarıyla düzenlemek için Not Defteri yönetici olarak açın ve ardından C:\Windows\System32\drivers\etc\hosts dosyasını açın

Aşağıdaki örnek DNS girişi, dış DNS sağlayıcınızla veya yerel konaklar dosyasında, ldaps.aaddscontoso.com için trafiği 168.62.205.103 dış IP adresine çözümler:

168.62.205.103    ldaps.aaddscontoso.com

Yönetilen etki alanında sorguları test etmek

Yönetilen etki alanınıza bağlanmak ve LDAP üzerinden arama yapmak içinLDP.exe kullanın. Bu araç, Uzak Sunucu Yönetim Araçları (RSAT) paketine dahildir. Daha fazla bilgi için bkz. yükleme Uzak Sunucu Yönetim Araçları.

  1. Yönetilen LDP.exe ve yönetilen etki alanına bağlanarak açın. Bağlantı'ya ve ardından Bağlan... öğesini seçin.
  2. Önceki adımda oluşturduğunuz yönetilen etki alanının güvenli LDAP DNS etki alanı adını girin, örneğin, ldaps.aaddscontoso.com. Güvenli LDAP kullanmak için Bağlantı noktası'sını 636 olarak ayarlayın ve SSL kutusunu işaretleyin.
  3. Yönetilen etki alanına bağlanmak için Tamam'ı seçin.

Ardından, yönetilen etki alanınıza bağlayın. Yönetilen etki alanınız üzerinde NTLM parola karması eşitlemesini devre dışı bıraksanız kullanıcılar (ve hizmet hesapları) LDAP basit bağlamaları gerçekleştirebölerler. NTLM parola karması eşitlemesini devre dışı bırakma hakkında daha fazla bilgi için bkz. Yönetilen etki alanınızı güvenli hale ekleme.

  1. Bağlantı menü seçeneğini ve ardından Bağla... seçeneğini belirleyin.
  2. Yönetilen etki alanına ait bir kullanıcı hesabının kimlik bilgilerini girin. Kullanıcı hesabının parolasını girin ve ardından etki alanınızı (örneğin, aaddscontoso.com.
  3. Bağlama türü için Kimlik bilgileriyle bağla seçeneğini belirleyin.
  4. Yönetilen etki alanınıza bağlamak için Tamam'ı seçin.

Yönetilen etki alanınıza depolanan nesneleri görmek için:

  1. Görünüm menü seçeneğini ve ardından Ağaç'ı seçin.

  2. BaseDN alanını boş bırakın ve Tamam'ı seçin.

  3. AADDC Kullanıcıları gibi bir kapsayıcı seçin, ardından kapsayıcıyı sağ seçin ve Ara'ya seçin.

  4. Önceden doldurulmuş alanları ayarlanmış şekilde bırakın ve Çalıştır'ı seçin. Sorgunun sonuçları, aşağıdaki örnek çıktıda gösterildiği gibi sağ pencerede görüntülenir:

    Yönetilen etki alanınıza nesneleri aramak için LDP.exe

Belirli bir kapsayıcıyı doğrudan sorgulamak için Görünüm > Ağacı menüsündeN OU=AADDC Kullanıcıları,DC=AADDSCONTOSO,DC=COM veya OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM gibi bir BaseDN belirtebilirsiniz. Sorguları biçimlendirme ve oluşturma hakkında daha fazla bilgi için bkz. LDAP sorgusunun temelleri.

Not

Otomatik olarak imzalanan sertifika kullanılıyorsa LDAPS'nin otomatik olarak imzalanan sertifikayla çalışması için Güvenilen Kök Sertifika Yetkilileri otomatik olarak imzalanan sertifikanın LDP.exe

Kaynakları temizleme

Bu öğreticinin bağlantısını test etmek için bilgisayarınızın yerel ana bilgisayar dosyasına bir DNS girişi eklediysanız, bu girişi kaldırın ve DNS bölgenize resmi bir kayıt ekleyin. Girdiyi yerel konaklar dosyasından kaldırmak için aşağıdaki adımları tamamlayın:

  1. Yerel makinede yönetici olarak Not Defteri makinenizi açın
  2. C:\Windows\System32\drivers\etc\hosts dosyasına gidin ve dosyayı açın
  3. Eklenen kaydın satırı silin; örneğin 168.62.205.103 ldaps.aaddscontoso.com

Sorun giderme

Bağlantının başarısız olduğunu belirten bir LDAP.exe, bağlantıyı alma ile ilgili farklı yönleriyle çalışmayı deneyin:

  1. Etki alanı denetleyicisini yapılandırma
  2. İstemciyi yapılandırma
  4. TLS oturumunu kurma

Sertifika konu adı eşleşmesi için DC, sertifika Azure AD DS için sertifika depolama alanında arama yapmak üzere etki alanı adını (Azure AD etki alanı adı değil) kullanır. Örneğin yazım hataları, DC'nin doğru sertifikayı seçmesini önler.

İstemci, sağladığınız adı kullanarak TLS bağlantısını kurma girişiminde bulunuyor. Trafiğin tüm yol boyunca ilerler olması gerekir. DC, sunucu kimlik doğrulama sertifikasının ortak anahtarını gönderir. Sertifikanın sertifikada doğru kullanımın olması, konu adı ile imzalanan adın, istemcinin sunucunun bağlanmakta olduğu DNS adına (joker karakter çalışacak, yazım hatası yapmadan) güvenecek ve istemcinin sertifikayı sağlayana güvenmesi için uyumlu olması gerekir. Sistem günlüğünde bu zincirde herhangi bir sorun olup Olay Görüntüleyicisi ve kaynağın Schannel'e eşit olduğu olayları filtreleysiniz. Bu parçalar tamam olduktan sonra bir oturum anahtarı oluşturmaları gerekir.

Daha fazla bilgi için bkz. TLS El Sıkışması.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

  • Azure AD DS ile kullanmak için dijital sertifika oluşturma
  • Azure AD DS için güvenli LDAP'yi etkinleştirme
  • Güvenli LDAP'yi genel İnternet üzerinden kullanmak üzere yapılandırma
  • Yönetilen etki alanı için güvenli LDAP bağlama ve test

Hibrit Azure AD ortamı için parola karması eşitlemeyi yapılandırma