Öğretici: Azure Active Directory Domain Services yönetilen bir etki alanı için Güvenli LDAP yapılandırmaTutorial: Configure secure LDAP for an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) yönetilen etki alanı ile iletişim kurmak için, Hafif Dizin Erişim Protokolü (LDAP) kullanılır.To communicate with your Azure Active Directory Domain Services (Azure AD DS) managed domain, the Lightweight Directory Access Protocol (LDAP) is used. Varsayılan olarak, LDAP trafiği şifrelenmez, bu da birçok ortamda bir güvenlik konusudur.By default, the LDAP traffic isn't encrypted, which is a security concern for many environments. Azure AD DS ile, yönetilen etki alanını güvenli basit Dizin Erişim Protokolü (LDAPS) kullanacak şekilde yapılandırabilirsiniz.With Azure AD DS, you can configure the managed domain to use secure Lightweight Directory Access Protocol (LDAPS). Güvenli LDAP kullandığınızda trafik şifrelenir.When you use secure LDAP, the traffic is encrypted. Güvenli LDAP, Güvenli Yuva Katmanı (SSL)/Aktarım Katmanı Güvenliği (TLS) üzerinden LDAP olarak da bilinir.Secure LDAP is also known as LDAP over Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

Bu öğreticide, Azure AD DS yönetilen bir etki alanı için LDAPS 'nin nasıl yapılandırılacağı gösterilmektedir.This tutorial shows you how to configure LDAPS for an Azure AD DS managed domain.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:In this tutorial, you learn how to:

  • Azure AD DS ile kullanmak için dijital bir sertifika oluşturunCreate a digital certificate for use with Azure AD DS
  • Azure AD DS için Güvenli LDAP 'yi etkinleştirmeEnable secure LDAP for Azure AD DS
  • Genel internet üzerinden kullanılmak üzere Güvenli LDAP yapılandırmaConfigure secure LDAP for use over the public internet
  • Azure AD DS yönetilen bir etki alanı için Güvenli LDAP bağlama ve test etmeBind and test secure LDAP for an Azure AD DS managed domain

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .If you don’t have an Azure subscription, create an account before you begin.

ÖnkoşullarPrerequisites

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:To complete this tutorial, you need the following resources and privileges:

Azure portalında oturum açınSign in to the Azure portal

Bu öğreticide, Azure portal kullanarak Azure AD DS yönetilen etki alanı için Güvenli LDAP 'yi yapılandırırsınız.In this tutorial, you configure secure LDAP for the Azure AD DS managed domain using the Azure portal. Başlamak için öncelikle Azure Portaloturum açın.To get started, first sign in to the Azure portal.

Güvenli LDAP için bir sertifika oluşturmaCreate a certificate for secure LDAP

Güvenli LDAP kullanmak için, iletişimi şifrelemek için dijital bir sertifika kullanılır.To use secure LDAP, a digital certificate is used to encrypt the communication. Bu dijital sertifika Azure AD DS yönetilen etki alanına uygulanır ve Ldp. exe gibi araçların verileri sorgularken güvenli şifreli iletişim kullanmasına izin verir.This digital certificate is applied to your Azure AD DS managed domain, and lets tools like LDP.exe use secure encrypted communication when querying data. Yönetilen etki alanına Güvenli LDAP erişimi için sertifika oluşturmanın iki yolu vardır:There are two ways to create a certificate for secure LDAP access to the managed domain:

  • Bir genel sertifika yetkilisinden (CA) veya kuruluş CA 'dan bir sertifika.A certificate from a public certificate authority (CA) or an enterprise CA.
    • Kuruluşunuz ortak bir CA 'dan sertifika alırsa, bu genel CA 'dan Güvenli LDAP sertifikası alın.If your organization gets certificates from a public CA, get the secure LDAP certificate from that public CA. Kuruluşunuzda kurumsal bir CA kullanıyorsanız, kurumsal CA 'dan Güvenli LDAP sertifikası alın.If you use an enterprise CA in your organization, get the secure LDAP certificate from the enterprise CA.
    • Genel CA yalnızca Azure AD DS yönetilen etki alanı ile özel bir DNS adı kullandığınızda kullanılabilir.A public CA only works when you use a custom DNS name with your Azure AD DS managed domain. Yönetilen etki alanının DNS etki alanı adı . onmicrosoft.comile biterse, bu varsayılan etki alanı ile bağlantıyı güvenli hale getirmek için dijital bir sertifika oluşturamazsınız.If the DNS domain name of your managed domain ends in .onmicrosoft.com, you can't create a digital certificate to secure the connection with this default domain. Microsoft, . onmicrosoft.com etki alanına sahipdir, bu nedenle ortak CA bir sertifika vermez.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Bu senaryoda, otomatik olarak imzalanan bir sertifika oluşturun ve bunu güvenli LDAP 'yi yapılandırmak için kullanın.In this scenario, create a self-signed certificate and use that to configure secure LDAP.
  • Kendi oluşturduğunuz otomatik olarak imzalanan bir sertifika.A self-signed certificate that you create yourself.
    • Bu yaklaşım, test amaçları için uygundur ve Bu öğreticinin gösterdiği şeydir.This approach is good for testing purposes, and is what this tutorial shows.

İsteğiniz veya oluşturduğunuz sertifikanın aşağıdaki gereksinimleri karşılaması gerekir.The certificate you request or create must meet the following requirements. Güvenli LDAP 'yi geçersiz bir sertifikayla etkinleştirirseniz, yönetilen etki alanınız sorunlarla karşılaşır:Your managed domain encounters problems if you enable secure LDAP with an invalid certificate:

  • Güvenilir veren -sertifika, Güvenli LDAP kullanılarak yönetilen etki alanına bağlanan bilgisayarlar tarafından güvenilen bir yetkili tarafından verilmelidir.Trusted issuer - The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Bu yetkili, genel bir CA veya bu bilgisayarlar tarafından güvenilen bir kuruluş CA 'sı olabilir.This authority may be a public CA or an Enterprise CA trusted by these computers.
  • Yaşam süresi -sertifika en az sonraki 3-6 ay için geçerli olmalıdır.Lifetime - The certificate must be valid for at least the next 3-6 months. Sertifikanın süresi dolarsa, yönetilen etki alanınız için Güvenli LDAP erişimi bozulur.Secure LDAP access to your managed domain is disrupted when the certificate expires.
  • Konu adı -sertifikadaki Konu adı, yönetilen etki alanınız olmalıdır.Subject name - The subject name on the certificate must be your managed domain. Örneğin, etki alanınız contoso.comolarak adlandırılmışsa, sertifikanın konu adı * . contoso.comolmalıdır.For instance, if your domain is named contoso.com, the certificate's subject name must be *.contoso.com.
    • Güvenli LDAP 'nin Azure AD Domain Services ile düzgün şekilde çalıştığından emin olmak için sertifikanın DNS adı veya konu diğer adı bir joker sertifika olmalıdır.The DNS name or subject alternate name of the certificate must be a wildcard certificate to ensure the secure LDAP works properly with the Azure AD Domain Services. Etki alanı denetleyicileri rastgele adlar kullanır ve hizmetin kullanılabilir durumda kalmasını sağlamak için kaldırılabilir veya eklenebilir.Domain Controllers use random names and can be removed or added to ensure the service remains available.
  • Anahtar kullanımı -sertifika, dijital imzalar ve anahtar şifrelemesiiçin yapılandırılmış olmalıdır.Key usage - The certificate must be configured for digital signatures and key encipherment.
  • Sertifika amacı -SERTIFIKA, SSL sunucusu kimlik doğrulaması için geçerli olmalıdır.Certificate purpose - The certificate must be valid for SSL server authentication.

Bu öğreticide PowerShell kullanarak Güvenli LDAP için otomatik olarak imzalanan bir sertifika oluşturalım.In this tutorial, let's create a self-signed certificate for secure LDAP using PowerShell. Yönetici olarak bir PowerShell penceresi açın ve aşağıdaki komutları çalıştırın.Open a PowerShell window as Administrator and run the following commands. $DnsName değişkenini, contoso.comgibi kendi yönetilen etkı alanınız tarafından kullanılan DNS adıyla değiştirin:Replace the $dnsName variable with the DNS name used by your own managed domain, such as contoso.com:

# Define your own DNS name used by your Azure AD DS managed domain
$dnsName="contoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Aşağıdaki örnek çıktı, sertifikanın başarıyla oluşturulduğunu ve yerel sertifika deposunda (Localmachine) depolandığını gösterir:The following example output shows that the certificate was successfully generated and is stored in the local certificate store (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=contoso.com

Gerekli sertifikaları anlama ve dışarı aktarmaUnderstand and export required certificates

Güvenli LDAP kullanmak için ağ trafiği, ortak anahtar altyapısı (PKI) kullanılarak şifrelenir.To use secure LDAP, the network traffic is encrypted using public key infrastructure (PKI).

  • Azure AD DS yönetilen etki alanına özel bir anahtar uygulanır.A private key is applied to the Azure AD DS managed domain.
    • Bu özel anahtar, Güvenli LDAP trafiğinin şifresini çözmek için kullanılır.This private key is used to decrypt the secure LDAP traffic. Özel anahtar yalnızca Azure AD DS tarafından yönetilen etki alanına uygulanmalıdır ve istemci bilgisayarlarına yaygın olarak dağıtılmamalıdır.The private key should only be applied to the Azure AD DS managed domain and not widely distributed to client computers.
    • Özel anahtarı içeren bir sertifika ' nı kullanır . PFX dosya biçimi.A certificate that includes the private key uses the .PFX file format.
  • İstemci bilgisayarlara ortak anahtar uygulanır.A public key is applied to the client computers.
    • Bu ortak anahtar, Güvenli LDAP trafiğini şifrelemek için kullanılır.This public key is used to encrypt the secure LDAP traffic. Ortak anahtar istemci bilgisayarlara dağıtılabilir.The public key can be distributed to client computers.
    • Özel anahtarı olmayan Sertifikalar ' i kullanır . CER dosya biçimi.Certificates without the private key use the .CER file format.

Bu iki anahtar, özel ve genel anahtarlar, yalnızca ilgili bilgisayarların birbirleriyle başarıyla iletişim kurabildiğinden emin olun.These two keys, the private and public keys, make sure that only the appropriate computers can successfully communicate with each other. Ortak bir CA veya kuruluş CA 'sı kullanıyorsanız, özel anahtarı içeren bir sertifikayla ve Azure AD DS yönetilen bir etki alanına uygulanabilen bir sertifika verilir.If you use a public CA or enterprise CA, you are issued with a certificate that includes the private key and can be applied to an Azure AD DS managed domain. Ortak anahtar, istemci bilgisayarlar tarafından zaten bilinen ve güvenilen olmalıdır.The public key should already be known and trusted by client computers. Bu öğreticide, özel anahtarla kendinden imzalı bir sertifika oluşturdunuz, bu nedenle uygun özel ve ortak bileşenleri dışarı aktarmanız gerekir.In this tutorial, you created a self-signed certificate with the private key, so you need to export the appropriate private and public components.

Azure AD DS için bir sertifika dışarı aktarmaExport a certificate for Azure AD DS

Önceki adımda oluşturulan dijital sertifikayı Azure AD DS yönetilen etki alanınız ile kullanabilmeniz için, sertifikayı bir öğesine dışarı aktarın . Özel anahtarı IÇEREN PFX Sertifika dosyası.Before you can use the digital certificate created in the previous step with your Azure AD DS managed domain, export the certificate to a .PFX certificate file that includes the private key.

  1. Çalıştır iletişim kutusunu açmak için Windows ve R tuşlarını seçin.To open the Run dialog, select the Windows and R keys.

  2. Çalıştır iletişim kutusuna MMC girerek Microsoft YÖNETIM konsolu 'nu (MMC) açın ve Tamam' ı seçin.Open the Microsoft Management Console (MMC) by entering mmc in the Run dialog, then select OK.

  3. Kullanıcı hesabı denetimi ISTEMINDE, MMC 'yi yönetici olarak başlatmak için Evet ' e tıklayın.On the User Account Control prompt, click Yes to launch MMC as administrator.

  4. Dosya menüsünde, ek bileşen Ekle/Kaldır ' a tıklayın...From the File menu, click Add/Remove Snap-in...

  5. Sertifikalar ek bileşeni sihirbazında bilgisayar hesabı' nı seçin ve ardından İleri' yi seçin.In the Certificates snap-in wizard, choose Computer account, then select Next.

  6. Bilgisayar Seç sayfasında, Yerel bilgisayar: (bu konsolun üzerinde çalıştığı bilgisayar) öğesini seçin ve ardından son' u seçin.On the Select Computer page, choose Local computer: (the computer this console is running on), then select Finish.

  7. Ek bileşenleri Ekle veya Kaldır iletişim kutusunda, MMC 'ye Sertifikalar ek bileşenini eklemek için Tamam ' a tıklayın.In the Add or Remove Snap-ins dialog, click OK to add the certificates snap-in to MMC.

  8. MMC penceresinde konsol kökü' ni genişletin.In the MMC window, expand Console Root. Sertifikalar (yerel bilgisayar) ' ı seçin, ardından Kişisel düğümünü ve ardından Sertifikalar düğümünü genişletin.Select Certificates (Local Computer), then expand the Personal node, followed by the Certificates node.

    Microsoft Yönetim Konsolu 'nda kişisel sertifikalar deposunu açın

  9. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika contoso.comgibi gösterilir.The self-signed certificate created in the previous step is shown, such as contoso.com. Bu sertifikayı sağ seçin ve ardından dışarı aktar > tüm görevler ' i seçin...Right-select this certificate, then choose All Tasks > Export...

    Microsoft Yönetim Konsolu 'nda sertifikayı dışarı aktarma

  10. Sertifika dışarı aktarma sihirbazında İleri' yi seçin.In the Certificate Export Wizard, select Next.

  11. Sertifika için özel anahtar verilmelidir.The private key for the certificate must be exported. Özel anahtar, dışarıya aktarılmış sertifikaya dahil edilmediğinde, yönetilen etki alanınız için Güvenli LDAP 'yi etkinleştirme eylemi başarısız olur.If the private key is not included in the exported certificate, the action to enable secure LDAP for your managed domain fails.

    Özel anahtarı dışarı aktar sayfasında Evet, özel anahtarı dışarı aktar' ı seçin ve ardından İleri' yi seçin.On the Export Private Key page, choose Yes, export the private key, then select Next.

  12. Azure AD DS yönetilen etki alanları yalnızca ' i destekler . Özel anahtarı IÇEREN PFX Sertifika dosyası biçimi.Azure AD DS managed domains only support the .PFX certificate file format that includes the private key. Sertifikayı olarak dışarı aktarmayın . Özel anahtar olmadan cer sertifika dosyası biçimi.Don't export the certificate as .CER certificate file format without the private key.

    Dışarı aktarma dosyası biçimi sayfasında Kişisel BILGI değişimi-PKCS #12 (. PFX) , dışarıya aktarılmış sertifikanın dosya biçimi olarak.On the Export File Format page, select Personal Information Exchange - PKCS #12 (.PFX) as the file format for the exported certificate. Mümkünse sertifika yolundaki tüm sertifikaları Ekleonay kutusunu işaretleyin:Check the box for Include all certificates in the certification path if possible:

    Sertifikayı PKCS 12 ' de dışarı aktarma seçeneğini belirleyin (. PFX) dosya biçimi

  13. Bu sertifika verilerin şifresini çözmek için kullanıldığından, erişimi dikkatle kontrol etmeniz gerekir.As this certificate is used to decrypt data, you should carefully control access. Sertifika kullanımını korumak için bir parola kullanılabilir.A password can be used to protect the use of the certificate. Doğru parola olmadan sertifika bir hizmete uygulanamaz.Without the correct password, the certificate can't be applied to a service.

    Güvenlik sayfasında, korumak için parola seçeneğini belirleyin . PFX sertifika dosyası.On the Security page, choose the option for Password to protect the .PFX certificate file. Bir parola girin ve onaylayın, ardından İleri' yi seçin.Enter and confirm a password, then select Next. Bu parola, Azure AD DS yönetilen etki alanınız için Güvenli LDAP özelliğini etkinleştirmek üzere bir sonraki bölümde kullanılır.This password is used in the next section to enable secure LDAP for your Azure AD DS managed domain.

  14. Dışarı aktarılacak dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumunu belirtin, örneğin C:\Users\accountname\azure-AD-DS.pfx.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds.pfx.

  15. Gözden geçirme sayfasında, sertifikayı bir öğesine aktarmak için son ' u seçin . PFX sertifika dosyası.On the review page, select Finish to export the certificate to a .PFX certificate file. Sertifika başarıyla verildiğinde bir onay iletişim kutusu görüntülenir.A confirmation dialog is displayed when the certificate has been successfully exported.

  16. Aşağıdaki bölümde MMC 'YI kullanılmak üzere açık bırakın.Leave the MMC open for use in the following section.

İstemci bilgisayarlar için bir sertifika dışarı aktarmaExport a certificate for client computers

İstemci bilgisayarların, LDAPS kullanarak yönetilen etki alanına başarıyla bağlanabilmek için Güvenli LDAP sertifikasını verene güvenmesi gerekir.Client computers must trust the issuer of the secure LDAP certificate to be able to connect successfully to the managed domain using LDAPS. İstemci bilgisayarların, Azure AD DS tarafından şifresi çözülen verileri başarıyla şifreleyebilmesi için bir sertifikaya ihtiyacı vardır.The client computers need a certificate to successfully encrypt data that is decrypted by Azure AD DS. Ortak CA kullanıyorsanız, bilgisayar bu sertifika verenler için otomatik olarak güvenmeli ve karşılık gelen bir sertifikaya sahip olmalıdır.If you use a public CA, the computer should automatically trust these certificate issuers and have a corresponding certificate. Bu öğreticide, kendinden imzalı bir sertifika kullanırsınız ve önceki adımda özel anahtarı içeren bir sertifika oluşturmuş olursunuz.In this tutorial you use a self-signed certificate, and generated a certificate that includes the private key in the previous step. Şimdi, otomatik olarak imzalanan sertifikayı dışarı aktarıp istemci bilgisayardaki güvenilir sertifika deposuna yükleyelim:Now let's export and then install the self-signed certificate into the trusted certificate store on the client computer:

  1. Sertifikalar (yerel bilgisayar) IÇIN MMC ' > kişisel > sertifikaları deposu ' na geri dönün.Go back to the MMC for Certificates (Local Computer) > Personal > Certificates store. Önceki adımda oluşturulan otomatik olarak imzalanan sertifika contoso.comgibi gösterilir.The self-signed certificate created in a previous step is shown, such as contoso.com. Bu sertifikayı sağ seçin ve ardından dışarı aktar > tüm görevler ' i seçin...Right-select this certificate, then choose All Tasks > Export...

  2. Sertifika dışarı aktarma sihirbazında İleri' yi seçin.In the Certificate Export Wizard, select Next.

  3. İstemciler için özel anahtara ihtiyacınız olmadığı için, özel anahtarı dışarı aktar sayfasında Hayır, özel anahtarı dışarı aktarma' yı seçin ve ardından İleri' yi seçin.As you don't need the private key for clients, on the Export Private Key page choose No, do not export the private key, then select Next.

  4. Dışarı aktarma dosyası biçimi sayfasında Base-64 Encoded X. 509.440 (. CER) , şu sertifika için dosya biçimi olarak:On the Export File Format page, select Base-64 encoded X.509 (.CER) as the file format for the exported certificate:

    Sertifikayı dışarı aktarma seçeneğini belirleyin-64 Encoded X. 509.440 (. CER) dosya biçimi

  5. Dışarı aktarılacak dosya sayfasında, sertifikayı dışarı aktarmak istediğiniz dosya adını ve konumunu belirtin, örneğin C:\Users\accountname\azure-AD-DS-Client.cer.On the File to Export page, specify the file name and location where you'd like to export the certificate, such as C:\Users\accountname\azure-ad-ds-client.cer.

  6. Gözden geçirme sayfasında, sertifikayı bir öğesine aktarmak için son ' u seçin . CER sertifika dosyası.On the review page, select Finish to export the certificate to a .CER certificate file. Sertifika başarıyla verildiğinde bir onay iletişim kutusu görüntülenir.A confirmation dialog is displayed when the certificate has been successfully exported.

. CER sertifika dosyası artık Azure AD DS yönetilen etki alanı ile GÜVENLI LDAP bağlantısına güvenmesi gereken istemci bilgisayarlara dağıtılabilir.The .CER certificate file can now be distributed to client computers that need to trust the secure LDAP connection to the Azure AD DS managed domain. Sertifikayı yerel bilgisayara yükleyelim.Let's install the certificate on the local computer.

  1. Dosya Gezgini 'ni açın ve kaydettiğiniz konuma gidin . C:\USERS\ACCOUNTNAME\AZURE-AD-DS-CLIENT.cergibi cer sertifika dosyası.Open File Explorer and browse to the location where you saved the .CER certificate file, such as C:\Users\accountname\azure-ad-ds-client.cer.

  2. Sağ seçin . CER sertifika dosyası, ardından sertifikayı yükler' i seçin.Right-select the .CER certificate file, then choose Install Certificate.

  3. Sertifika Içeri aktarma sihirbazında, sertifikayı Yerel makinededepolamayı seçin ve ardından İleri' yi seçin:In the Certificate Import Wizard, choose to store the certificate in the Local machine, then select Next:

    Sertifikayı yerel makine deposuna aktarma seçeneğini belirleyin

  4. İstendiğinde, bilgisayarın değişiklik yapmasına izin vermek için Evet ' i seçin.When prompted, choose Yes to allow the computer to make changes.

  5. Sertifika deposunu sertifika türüne göre otomatik olarak seçipseçin ve ardından İleri' yi seçin.Choose to Automatically select the certificate store based on the type of certificate, then select Next.

  6. İnceleme sayfasında, öğesini içeri aktarmak için son ' u seçin . CER sertifikası.On the review page, select Finish to import the .CER certificate. sertifika başarıyla içeri aktarıldığında, dosya onay iletişim kutusu görüntülenir.file A confirmation dialog is displayed when the certificate has been successfully imported.

Azure AD DS için Güvenli LDAP 'yi etkinleştirmeEnable secure LDAP for Azure AD DS

Özel anahtarı içeren ve istemci bilgisayar bağlantıya güvenmek üzere ayarlanmış olan dijital bir sertifika oluşturulup verildiğinde, Azure AD DS yönetilen etki alanında güvenli LDAP 'yi etkinleştirin.With a digital certificate created and exported that includes the private key, and the client computer set to trust the connection, now enable secure LDAP on your Azure AD DS managed domain. Azure AD DS yönetilen bir etki alanında güvenli LDAP özelliğini etkinleştirmek için aşağıdaki yapılandırma adımlarını gerçekleştirin:To enable secure LDAP on an Azure AD DS managed domain, perform the following configuration steps:

  1. Azure Portal, kaynakları ara kutusunda etki alanı Hizmetleri ' ni arayın.In the Azure portal, search for domain services in the Search resources box. Arama sonuçlarından Azure AD Domain Services seçin.Select Azure AD Domain Services from the search result.

    Azure portal Azure AD DS yönetilen etki alanınızı arayın ve seçin

  2. Contoso.comgibi yönetilen etki alanınızı seçin.Choose your managed domain, such as contoso.com.

  3. Azure AD DS penceresinin sol tarafında Güvenli LDAP' i seçin.On the left-hand side of the Azure AD DS window, choose Secure LDAP.

  4. Varsayılan olarak, yönetilen etki alanınız için Güvenli LDAP erişimi devre dışı bırakılır.By default, secure LDAP access to your managed domain is disabled. Etkinleştirmekiçin Güvenli LDAP değiştirin.Toggle Secure LDAP to Enable.

  5. Internet üzerinden yönetilen etki alanınız Güvenli LDAP erişimi varsayılan olarak devre dışıdır.Secure LDAP access to your managed domain over the internet is disabled by default. Genel Güvenli LDAP erişimini etkinleştirdiğinizde, etki alanınız Internet üzerinden parola deneme yanılma saldırılarına açıktır.When you enable public secure LDAP access, your domain is susceptible to password brute force attacks over the internet. Bir sonraki adımda, ağ güvenlik grubu, erişimi yalnızca gerekli kaynak IP adresi aralıklarına kilitleyecek şekilde yapılandırılmıştır.In the next step, a network security group is configured to lock down access to only the required source IP address ranges.

    Internet üzerinden GÜVENLI LDAP erişimine Izin ver ' i etkinleştirmekiçin değiştirin.Toggle Allow secure LDAP access over the internet to Enable.

  6. Yanındaki klasör simgesini seçin . Güvenli LDAP sertifikası olan PFX dosyası.Select the folder icon next to .PFX file with secure LDAP certificate. Yoluna gidin . PFX dosyası, ardından özel anahtarı içeren önceki bir adımda oluşturulan sertifikayı seçin.Browse to the path of the .PFX file, then select the certificate created in a previous step that includes the private key.

    Sertifika gereksinimlerinin önceki bölümünde belirtildiği gibi, varsayılan . onmicrosoft.com etki alanı ile genel bir CA 'dan bir sertifika kullanamazsınız.As noted in the previous section on certificate requirements, you can't use a certificate from a public CA with the default .onmicrosoft.com domain. Microsoft, . onmicrosoft.com etki alanına sahipdir, bu nedenle ortak CA bir sertifika vermez.Microsoft owns the .onmicrosoft.com domain, so a public CA won't issue a certificate. Sertifikanızın uygun biçimde olduğundan emin olun.Make sure your certificate is in the appropriate format. Aksi takdirde, Azure platformu, Güvenli LDAP 'yi etkinleştirdiğinizde sertifika doğrulama hataları oluşturur.If it's not, the Azure platform generates certificate validation errors when you enable secure LDAP.

  7. Şifresini çözmek Için parolayı girin. Sertifika bir ' a aktarıldığında önceki bir adımda ayarlanan pfx dosyası . PFX dosyası.Enter the Password to decrypt .PFX file set in a previous step when the certificate was exported to a .PFX file.

  8. Güvenli LDAP özelliğini etkinleştirmek için Kaydet ' i seçin.Select Save to enable secure LDAP.

    Azure portal Azure AD DS yönetilen etki alanı için Güvenli LDAP 'yi etkinleştirme

Yönetilen etki alanı için Güvenli LDAP 'nin yapılandırılmakta olduğu bir bildirim görüntülenir.A notification is displayed that secure LDAP is being configured for the managed domain. Bu işlem tamamlanana kadar, yönetilen etki alanının diğer ayarlarını değiştiremezsiniz.You can't modify other settings for the managed domain until this operation is complete.

Yönetilen etki alanınız için Güvenli LDAP 'nin etkinleştirilmesi birkaç dakika sürer.It takes a few minutes to enable secure LDAP for your managed domain. Sağladığınız Güvenli LDAP sertifikası gerekli ölçütlere uymuyorsa, yönetilen etki alanı için Güvenli LDAP 'yi etkinleştirme eylemi başarısız olur.If the secure LDAP certificate you provide doesn't match the required criteria, the action to enable secure LDAP for the managed domain fails. Hata için bazı yaygın nedenler, etki alanı adı yanlış veya sertifikanın süresi yakında dolar veya zaten süresi dolmuşsa olur.Some common reasons for failure are if the domain name is incorrect, or the certificate expires soon or has already expired. Sertifikayı geçerli parametrelerle yeniden oluşturabilir ve ardından bu güncelleştirilmiş sertifikayı kullanarak Güvenli LDAP 'yi etkinleştirebilirsiniz.You can re-create the certificate with valid parameters, then enable secure LDAP using this updated certificate.

İnternet üzerinden güvenli LDAP erişimini kilitlemeLock down secure LDAP access over the internet

Azure AD DS yönetilen etki alanınızı Internet üzerinden güvenli LDAP erişimini etkinleştirdiğinizde bu, bir güvenlik tehdidi oluşturur.When you enable secure LDAP access over the internet to your Azure AD DS managed domain, it creates a security threat. Yönetilen etki alanına TCP bağlantı noktası 636 ' deki internet üzerinden erişilebilir.The managed domain is reachable from the internet on TCP port 636. Yönetilen etki alanına erişimi, ortamınız için belirli bilinen IP adresleriyle kısıtlamanız önerilir.It's recommended to restrict access to the managed domain to specific known IP addresses for your environment. Azure ağ güvenlik grubu kuralı, erişimi Güvenli LDAP ile sınırlamak için kullanılabilir.An Azure network security group rule can be used to limit access to secure LDAP.

Belirli bir IP adresi kümesinden TCP bağlantı noktası 636 üzerinden gelen güvenli LDAP erişimine izin vermek için bir kural oluşturalım.Let's create a rule to allow inbound secure LDAP access over TCP port 636 from a specified set of IP addresses. Varsayılan bir denyall kuralı, internet 'ten gelen diğer tüm trafik için geçerlidir. böylece, yalnızca belirtilen adresler Azure AD DS yönetilen etki ALANıNıZı Güvenli LDAP kullanarak alabilir.A default DenyAll rule with a lower priority applies to all other inbound traffic from the internet, so only the specified addresses can reach your Azure AD DS managed domain using secure LDAP.

  1. Azure portal sol taraftaki gezinmede kaynak grupları ' nı seçin.In the Azure portal, select Resource groups on the left-hand side navigation.

  2. Kaynak grubu ' nu ( Myresourcegroupgibi) seçin ve ardından aeklemeleri-contoso.com-NSGgibi ağ güvenlik grubunuzu seçin.Choose you resource group, such as myResourceGroup, then select your network security group, such as AADDS-contoso.com-NSG.

  3. Mevcut gelen ve giden güvenlik kurallarının listesi görüntülenir.The list of existing inbound and outbound security rules are displayed. Ağ güvenlik grubu pencerelerinin sol tarafında güvenlik > gelen güvenlik kuralları' nı seçin.On the left-hand side of the network security group windows, choose Security > Inbound security rules.

  4. Ekle' yi seçin ve TCP bağlantı noktası 636' e izin vermek için bir kural oluşturunSelect Add, then create a rule to allow TCP port 636. Gelişmiş güvenlik için, kaynağı IP adresleri olarak seçin ve ardından KURULUŞUNUZUN geçerli IP adresini veya aralığını belirtin.For improved security, choose the source as IP Addresses and then specify your own valid IP address or range for your organization.

    AyarSetting ValueValue
    SourceSource IP AdresleriIP Addresses
    Kaynak IP adresleri/CıDR aralıklarıSource IP addresses / CIDR ranges Ortamınız için geçerli bir IP adresi veya aralığıA valid IP address or range for your environment
    Source port rangesSource port ranges *
    HedefDestination AnyAny
    Hedef bağlantı noktası aralıklarıDestination port ranges 636636
    ProtocolProtocol TCPTCP
    ActionAction AllowAllow
    PriorityPriority 401401
    NameName AllowLDAPSAllowLDAPS
  5. Hazırsanız, kuralı kaydetmek ve uygulamak için Ekle ' yi seçin.When ready, select Add to save and apply the rule.

    Internet üzerinden LDAPS erişimini güvenli hale getirmek için bir ağ güvenlik grubu kuralı oluşturma

Dış erişim için DNS bölgesini yapılandırmaConfigure DNS zone for external access

Internet üzerinden güvenli LDAP erişimi etkinken, istemci bilgisayarlarının bu yönetilen etki alanını bulabilmesi için DNS bölgesini güncelleştirin.With secure LDAP access enabled over the internet, update the DNS zone so that client computers can find this managed domain. Güvenli LDAP dış IP adresi , Azure AD DS yönetilen etki alanınız için Özellikler sekmesinde listelenir:The Secure LDAP external IP address is listed on the Properties tab for your Azure AD DS managed domain:

Azure portal Azure AD DS yönetilen etki alanınız için Güvenli LDAP dış IP adresini görüntüleyin

Dış DNS sağlayıcınızı, bu dış IP adresine çözümlemek üzere LDAPSgibi bir konak kaydı oluşturacak şekilde yapılandırın.Configure your external DNS provider to create a host record, such as ldaps, to resolve to this external IP address. Öncelikle makinenizde yerel olarak test etmek için Windows Konakları dosyasında bir giriş oluşturabilirsiniz.To test locally on your machine first, you can create an entry in the Windows hosts file. Yerel makinenizde konaklar dosyasını başarıyla düzenlemek için Not defteri 'ni yönetici olarak açın, sonra dosyayı açın C:\Windows\System32\drivers\etcTo successfully edit the hosts file on your local machine, open Notepad as an administrator, then open the file C:\Windows\System32\drivers\etc

Aşağıdaki örnek DNS girişi, dış DNS sağlayıcınız veya yerel konaklar dosyasında, LDAPS.contoso.com trafiğini 40.121.19.239dış IP adresine çözümler:The following example DNS entry, either with your external DNS provider or in the local hosts file, resolves traffic for ldaps.contoso.com to the external IP address of 40.121.19.239:

40.121.19.239    ldaps.contoso.com

Yönetilen etki alanına sorguları test etmeTest queries to the managed domain

Azure AD DS yönetilen etki alanınızı bağlamak ve bağlanmak ve LDAP üzerinden aramak için Ldp. exe ' yi de kullanabilirsiniz.To connect and bind to your Azure AD DS managed domain and search over LDAP, you use the LDP.exe too. Bu araç Uzak Sunucu Yönetim Araçları (RSAT) paketine dahildir.This tool is included in the Remote Server Administration Tools (RSAT) package. Daha fazla bilgi için bkz. ınstall uzak sunucu yönetim araçları.For more information, see install Remote Server Administration Tools.

  1. Ldp. exe ' yi açın ve yönetilen etki alanına bağlanın.Open LDP.exe and connect to the managed domain. Bağlantı' yı ve ardından Bağlan... seçeneğini belirleyin.Select Connection, then choose Connect....
  2. Önceki adımda oluşturulan, LDAPS.contoso.comgibi yönetilen etki ALANıNıN GÜVENLI LDAP DNS etki alanı adını girin.Enter the secure LDAP DNS domain name of your managed domain created in the previous step, such as ldaps.contoso.com. Güvenli LDAP kullanmak için, bağlantı noktasını 636olarak ayarlayın ve ardından SSLkutusunu işaretleyin.To use secure LDAP, set Port to 636, then check the box for SSL.
  3. Yönetilen etki alanına bağlanmak için Tamam ' ı seçin.Select OK to connect to the managed domain.

Ardından, Azure AD DS yönetilen etki alanınızı bağlayın.Next, bind to your Azure AD DS managed domain. Azure AD DS örneğiniz üzerinde NTLM parola karması eşitlemesini devre dışı bırakmış kullanıcılar (ve hizmet hesapları) LDAP basit bağlamalar gerçekleştiremez.Users (and service accounts) can't perform LDAP simple binds if you have disabled NTLM password hash synchronization on your Azure AD DS instance. NTLM parola karma eşitlemesini devre dışı bırakma hakkında daha fazla bilgi için bkz. Azure AD DS yönetilen etki alanınızı güvenceyealma.For more information on disabling NTLM password hash synchronization, see Secure your Azure AD DS managed domain.

  1. Bağlantı menüsü seçeneğini belirleyin ve ardından bağla... seçeneğini belirleyin.Select the Connection menu option, then choose Bind....
  2. Contosoadmingıbı AAD DC Administrators grubuna ait olan bir kullanıcı hesabının kimlik bilgilerini sağlayın.Provide the credentials of a user account belonging to the AAD DC Administrators group, such as contosoadmin. Kullanıcı hesabının parolasını girin ve etki alanınızı girin, örneğin contoso.com.Enter the user account's password, then enter your domain, such as contoso.com.
  3. Bağlama türüiçin, kimlik bilgileriyle bağlamaseçeneğini belirleyin.For Bind type, choose the option for Bind with credentials.
  4. Azure AD DS yönetilen etki alanınızı bağlamak için Tamam ' ı seçin.Select OK to bind to your Azure AD DS managed domain.

Azure AD DS yönetilen etki alanında depolanan nesneleri görmek için:To see of the objects stored in your Azure AD DS managed domain:

  1. Görünüm menü seçeneğini belirleyin ve ardından ağaç' ı seçin.Select the View menu option, and then choose Tree.

  2. BaseDN alanını boş bırakın ve Tamam' ı seçin.Leave the BaseDN field blank, then select OK.

  3. Aaddc kullanıcılarıgibi bir kapsayıcı seçin, kapsayıcıyı sağ seçip Ara' yı seçin.Choose a container, such as AADDC Users, then right-select the container and choose Search.

  4. Önceden doldurulmuş alanları ayarlanmış bırakın ve Çalıştır' ı seçin.Leave the pre-populated fields set, then select Run. Sorgunun sonuçları sağ taraftaki pencerede gösterilir.The results of the query are shown in the right-hand window.

    LDP. exe kullanarak Azure AD DS yönetilen etki alanındaki nesneleri arama

Belirli bir kapsayıcıyı doğrudan sorgulamak için, görünüm > ağaç menüsünden OU = Aaddc kullanıcıları, DC = contoso, DC = com veya OU = AADDC Computers, DC = contoso, DC = comgibi bir BaseDN belirtebilirsiniz.To directly query a specific container, from the View > Tree menu, you can specify a BaseDN such as OU=AADDC Users,DC=CONTOSO,DC=COM or OU=AADDC Computers,DC=CONTOSO,DC=COM. Sorguları biçimlendirme ve oluşturma hakkında daha fazla bilgi için bkz. LDAP sorgusu temelleri.For more information on how to format and create queries, see LDAP query basics.

Kaynakları temizlemeClean up resources

Bu öğreticinin bağlantısını test etmek için bilgisayarınızın yerel Hosts dosyasına bir DNS girişi eklediyseniz, bu girişi kaldırın ve DNS bölgenize bir resmi kayıt ekleyin.If you added a DNS entry to the local hosts file of your computer to test connectivity for this tutorial, remove this entry and add a formal record in your DNS zone. Girişi yerel hosts dosyasından kaldırmak için aşağıdaki adımları izleyin:To remove the entry from the local hosts file, complete the following steps:

  1. Yerel makinenizde, yönetici olarak Not defteri 'ni açınOn your local machine, open Notepad as an administrator
  2. C:\Windows\System32\drivers\etc dosyasına gidin ve dosyayı açınBrowse to and open the file C:\Windows\System32\drivers\etc
  3. Eklediğiniz kaydın satırını silin, örneğin40.121.19.239 ldaps.contoso.comDelete the line for the record you added, such as 40.121.19.239 ldaps.contoso.com

Sonraki adımlarNext steps

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:In this tutorial, you learned how to:

  • Azure AD DS ile kullanmak için dijital bir sertifika oluşturunCreate a digital certificate for use with Azure AD DS
  • Azure AD DS için Güvenli LDAP 'yi etkinleştirmeEnable secure LDAP for Azure AD DS
  • Genel internet üzerinden kullanılmak üzere Güvenli LDAP yapılandırmaConfigure secure LDAP for use over the public internet
  • Azure AD DS yönetilen bir etki alanı için Güvenli LDAP bağlama ve test etmeBind and test secure LDAP for an Azure AD DS managed domain