已知問題:安全 LDAP Azure Active Directory 網域服務中的警示

  • 發行項

使用輕量型目錄存取協定 (LDAP) 與 Azure Active Directory 網域服務進行通訊的應用程式和服務 (Azure AD DS) 可設定為使用安全 LDAP。 必須開啟適當的憑證和必要的網路埠,安全的 LDAP 才能正確運作。

本文可協助您瞭解和解決 Azure AD DS 中安全 LDAP 存取的常見警示。

AADDS101:安全 LDAP 網路設定

警示訊息

受控網域已啟用透過網際網路的安全 LDAP。 不過,卻未使用網路安全性群組鎖定連接埠 636 的存取。 這可能會使受控網域上的使用者帳戶暴露於暴力密碼破解攻擊的威脅之下。

解決方案

當您啟用安全 LDAP 時,建議您建立其他規則,以限制對特定 IP 位址的輸入 LDAPS 存取。 這些規則會保護受控網域免于暴力密碼破解攻擊。 若要更新網路安全性群組以限制安全 LDAP 的 TCP 埠636存取,請完成下列步驟:

  1. 在 [Azure 入口網站中,搜尋並選取 [網路安全性群組]。
  2. 選擇與您的受控網域相關聯的網路安全性群組,例如AADDS-contoso.com-NSG,然後選取 [輸入安全性規則]
  3. 選取 [ + 新增 ] 以建立 TCP 通訊埠636的規則。 如有需要,請在視窗中選取 [ Advanced ] 以建立規則。
  4. 針對 [ 來源],從下拉式功能表中選擇 [ IP 位址 ]。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
  5. 選擇 [ 任何 ] 作為 目的地,然後輸入 636 作為 目的地埠範圍
  6. 通訊協定 設定為 TCP ,並將 動作 設定為 [ 允許]。
  7. 指定規則的優先順序,然後輸入 RestrictLDAPS之類的名稱。
  8. 準備好時,請選取 [ 新增 ] 以建立規則。

受控網域的健康情況會在兩小時內自動更新,並移除警示。

提示

TCP 埠636不是 Azure AD DS 順利執行所需的唯一規則。 若要深入瞭解,請參閱Azure AD DS 網路安全性群組和必要的埠

AADDS502:安全 LDAP 憑證過期

警示訊息

受控網域的安全 LDAP 憑證將於 [date] 到期。

解決方案

遵循 建立安全 ldap 憑證的步驟,建立取代的安全 ldap 憑證。 將替代憑證套用至 Azure AD DS,然後將憑證發佈至使用安全 LDAP 連接的任何用戶端。

後續步驟

如果仍有問題,請開啟 Azure 支援要求以取得其他疑難排解協助。