Samouczek: konfigurowanie protokołu Secure LDAP dla domeny zarządzanej usług Microsoft Entra Domain Services

Do komunikacji z domeną zarządzaną usługi Microsoft Entra Domain Services używany jest protokół LDAP (Lightweight Directory Access Protocol). Domyślnie ruch protokołu LDAP nie jest szyfrowany, co w wielu środowiskach stanowi problem dotyczący zabezpieczeń.

Korzystając z usługi Microsoft Entra Domain Services, można skonfigurować domenę zarządzaną, aby korzystać z bezpiecznego protokołu LDAPS (Lightweight Directory Access Protocol). W przypadku korzystania z protokołu Secure LDAP ruch jest szyfrowany. Protokół Secure LDAP jest również znany jako LDAP za pośrednictwem protokołu Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

W tym samouczku pokazano, jak skonfigurować protokół LDAPS dla domeny zarządzanej usług Domenowych.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Tworzenie certyfikatu cyfrowego do użycia z usługami Microsoft Entra Domain Services
• Włączanie protokołu Secure LDAP dla usług Microsoft Entra Domain Services
• Konfigurowanie protokołu Secure LDAP do użycia za pośrednictwem publicznego Internetu
• Wiązanie i testowanie bezpiecznego protokołu LDAP dla domeny zarządzanej

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawca Microsoft Entra skojarzony z twoją subskrypcją, zsynchronizowany z katalogiem lokalnym lub katalogiem wyłącznie chmurowym.
  • W razie potrzeby utwórz konto dzierżawy Entra firmy Microsoft lub skojarz subskrypcję platformy Azure z Twoim kontem.
• Domena zarządzana przez Microsoft Entra Domain Services została włączona i skonfigurowana w dzierżawie Microsoft Entra.
  • W razie potrzeby utwórz i skonfiguruj domenę zarządzaną usług Microsoft Entra Domain Services.
• Narzędzie LDP.exe zainstalowane na komputerze.
  • W razie potrzeby zainstaluj narzędzia do administracji zdalnej serwera (RSAT) dla usług domenowych Active Directory i LDAP.
• Aby włączyć bezpieczny protokół LDAP, potrzebujesz ról Administratora Aplikacji i Administratora Grup w Microsoft Entra w swojej dzierżawie.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra

W tym samouczku skonfigurujesz bezpieczny protokół LDAP dla domeny zarządzanej przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Tworzenie certyfikatu dla protokołu Secure LDAP

Aby użyć protokołu Secure LDAP, do szyfrowania komunikacji służy certyfikat cyfrowy. Ten certyfikat cyfrowy jest stosowany do domeny zarządzanej i umożliwia narzędziom, takim jak LDP.exe używać bezpiecznej szyfrowanej komunikacji podczas wykonywania zapytań dotyczących danych. Istnieją dwa sposoby tworzenia certyfikatu na potrzeby bezpiecznego dostępu LDAP do domeny zarządzanej:

• Certyfikat z publicznego urzędu certyfikacji lub urzędu certyfikacji przedsiębiorstwa.
  • Jeśli Organizacja pobiera certyfikaty z publicznego urzędu certyfikacji, uzyskaj bezpieczny certyfikat LDAP z tego publicznego urzędu certyfikacji. Jeśli używasz urzędu certyfikacji przedsiębiorstwa w organizacji, uzyskaj bezpieczny certyfikat LDAP z urzędu certyfikacji przedsiębiorstwa.
  • Publiczny urząd certyfikacji działa tylko wtedy, gdy używasz niestandardowej nazwy DNS z domeną zarządzaną. Jeśli nazwa domeny DNS domeny zarządzanej kończy się na .onmicrosoft.com, nie można utworzyć certyfikatu cyfrowego w celu zabezpieczenia połączenia z tą domeną domyślną. Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc publiczny urząd certyfikacji nie wystawi certyfikatu. W tym scenariuszu utwórz certyfikat z podpisem własnym i użyj go do skonfigurowania bezpiecznego protokołu LDAP.
• Certyfikat z podpisem własnym utworzony samodzielnie.
  • To podejście jest dobre do celów testowych i właśnie to przedstawia ten samouczek.

Żądany lub utworzony certyfikat musi spełniać następujące wymagania. Domena zarządzana napotyka problemy w przypadku włączenia protokołu Secure LDAP z nieprawidłowym certyfikatem:

• Zaufany wystawca — certyfikat musi być wystawiony przez urząd zaufany przez komputery łączące się z domeną zarządzaną przy użyciu protokołu Secure LDAP. Ten autorytet może być publicznym urzędem certyfikacji lub urzędem certyfikacji przedsiębiorstwa, któremu ufają te komputery.
• Okres istnienia — certyfikat musi być ważny przez co najmniej następne 3–6 miesięcy. Bezpieczny dostęp LDAP do domeny zarządzanej jest zakłócany po wygaśnięciu certyfikatu.
• Nazwa podmiotu — nazwa przedmiotu w certyfikacie musi być twoją zarządzaną domeną. Jeśli na przykład domena ma nazwę aaddscontoso.com, nazwa podmiotu certyfikatu musi mieć wartość *.aaddscontoso.com.
  • Nazwa DNS lub alternatywna nazwa podmiotów certyfikatu musi być certyfikatem wieloznacznym, aby upewnić się, że bezpieczne LDAP działa prawidłowo z usługami domenowymi. Kontrolery domeny używają losowych nazw i można je usunąć lub dodać, aby upewnić się, że usługa pozostaje dostępna.
• Użycie klucza — certyfikat musi być skonfigurowany pod kątem podpisów cyfrowych i szyfrowania kluczy.
• Cel certyfikatu — certyfikat musi być ważny do uwierzytelniania serwera TLS.

Dostępnych jest kilka narzędzi do tworzenia certyfikatu samopodpisanego, takich jak OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate cmdlet, itd.

W tym samouczku utworzymy samopodpisany certyfikat na potrzeby bezpiecznego protokołu LDAP przy użyciu cmdletu New-SelfSignedCertificate.

Otwórz okno programu PowerShell jako administrator i uruchom następujące polecenia. Zastąp zmienną $dnsName nazwą DNS używaną przez własną domenę zarządzaną, taką jak aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Następujące przykładowe dane wyjściowe pokazują, że certyfikat został pomyślnie wygenerowany i jest przechowywany w lokalnym magazynie certyfikatów (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Zrozumienie i eksportowanie wymaganych certyfikatów

Aby użyć protokołu Secure LDAP, ruch sieciowy jest szyfrowany przy użyciu infrastruktury kluczy publicznych (PKI).

• Klucz prywatny jest stosowany do domeny zarządzanej.
  • Ten klucz prywatny służy do odszyfrowywania bezpiecznego ruchu LDAP. Klucz prywatny powinien być stosowany tylko do domeny zarządzanej, a nie szeroko dystrybuowany do komputerów klienckich.
  • Certyfikat, który zawiera klucz prywatny, używa formatu pliku PFX.
  • Podczas eksportowania certyfikatu należy określić algorytm szyfrowania TripleDES-SHA1 . Dotyczy to tylko pliku pfx i nie ma wpływu na algorytm używany przez sam certyfikat. Należy pamiętać, że opcja TripleDES-SHA1 jest dostępna tylko od systemu Windows Server 2016.
• Klucz publiczny jest stosowany do komputerów klienckich.
  • Ten klucz publiczny służy do szyfrowania ruchu secure LDAP. Klucz publiczny można rozpowszechniać na komputerach klienckich.
  • Certyfikaty bez klucza prywatnego używają formatu pliku .CER.

Te dwa klucze, prywatny i publiczny, zapewniają, że tylko odpowiednie komputery mogą się ze sobą pomyślnie komunikować. Jeśli używasz publicznego urzędu certyfikacji lub urzędu certyfikacji przedsiębiorstwa, otrzymasz certyfikat zawierający klucz prywatny i można go zastosować do domeny zarządzanej. Klucz publiczny powinien być już znany i zaufany przez komputery klienckie.

W tym samouczku utworzyłeś certyfikat samopodpisany z kluczem prywatnym, zatem musisz wyeksportować odpowiednie komponenty prywatne i publiczne.

Eksportowanie certyfikatu dla usług Microsoft Entra Domain Services

Zanim będzie można użyć certyfikatu cyfrowego utworzonego w poprzednim kroku z domeną zarządzaną, wyeksportuj certyfikat do pliku certyfikatu .PFX, który zawiera klucz prywatny.

1. Aby otworzyć okno dialogowe Uruchom, wybierz klawisze Windows + R.

2. Otwórz konsolę Microsoft Management Console (MMC), wprowadzając mmc w oknie dialogowym Uruchamianie, a następnie wybierz przycisk OK.

3. W wierszu polecenia Kontrola konta użytkownika wybierz pozycję Tak, aby uruchomić program MMC jako administrator.

4. Z menu Plik wybierz pozycję Dodaj/Usuń przystawkę...

5. W kreatorze przystawki Certyfikaty wybierz Konto komputerowe, a następnie wybierz Dalej.

6. Na stronie Wybieranie komputera wybierz pozycję Komputer lokalny: (komputer, na którym działa ta konsola), a następnie wybierz pozycję Zakończ.

7. W oknie dialogowym Dodawanie lub usuwanie przystawek wybierz przycisk OK, aby dodać przystawkę certyfikatów do programu MMC.

8. W oknie MMC rozwiń Konsola główna. Wybierz pozycję Certyfikaty (komputer lokalny), a następnie rozwiń węzeł Osobisty oraz węzeł Certyfikaty.

   

9. Zostanie wyświetlony certyfikat z podpisem własnym utworzony w poprzednim kroku, taki jak aaddscontoso.com. Wybierz prawym przyciskiem ten certyfikat, a następnie wybierz Wszystkie zadania > Eksportuj...

   

10. W Kreatorze eksportu certyfikatów wybierz przycisk Dalej.

11. Należy wyeksportować klucz prywatny certyfikatu. Jeśli klucz prywatny nie jest uwzględniony w wyeksportowanym certyfikacie, akcja włączenia bezpiecznego protokołu LDAP dla domeny zarządzanej zakończy się niepowodzeniem.

    Na stronie Eksportuj klucz prywatny wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.

12. Domeny zarządzane obsługują tylko format pliku certyfikatu .PFX, który zawiera klucz prywatny. Nie eksportuj certyfikatu w formacie pliku .CER bez klucza prywatnego.

    Na stronie Format pliku eksportu wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. PFX) jako format pliku wyeksportowanego certyfikatu. Zaznacz pole wyboru Dołącz wszystkie certyfikaty do ścieżki certyfikacji, jeśli to możliwe:

    

13. Ponieważ ten certyfikat jest używany do odszyfrowywania danych, należy dokładnie kontrolować dostęp. Hasło może służyć do ochrony używania certyfikatu. Bez poprawnego hasła nie można zastosować certyfikatu do usługi.

    Na stronie Zabezpieczenia wybierz opcję Hasło, aby chronić plik certyfikatu .PFX. Algorytm szyfrowania musi mieć wartość TripleDES-SHA1. Wprowadź i potwierdź hasło, a następnie wybierz pozycję Dalej. To hasło jest używane w następnej sekcji, aby włączyć bezpieczny protokół LDAP dla domeny zarządzanej.

    W przypadku eksportowania przy użyciu polecenia cmdlet export-pfxcertificate w programie PowerShell należy przekazać flagę -CryptoAlgorithmOption z opcją TripleDES_SHA1.

    

14. Na stronie Plik do eksportu określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat, na przykład C:\Users\<account-name>\azure-ad-ds.pfx. Zapisz hasło i lokalizację pliku .PFX, ponieważ te informacje będą potrzebne w następnych krokach.

15. Na stronie przeglądu wybierz pozycję Zakończ aby wyeksportować certyfikat do pliku certyfikatu .PFX. Po pomyślnym wyeksportowaniu certyfikatu zostanie wyświetlone okno dialogowe potwierdzenia.

16. Pozostaw rozszerzenie MMC otwarte do użycia w poniższej sekcji.

Eksportowanie certyfikatu dla komputerów klienckich

Komputery klienckie muszą ufać wystawcy certyfikatu secure LDAP, aby móc pomyślnie nawiązać połączenie z domeną zarządzaną przy użyciu protokołu LDAPS. Komputery klienckie potrzebują certyfikatu, aby pomyślnie zaszyfrować dane odszyfrowane przez usługi Domain Services. Jeśli używasz publicznego urzędu certyfikacji, komputer powinien automatycznie ufać tym wystawcom certyfikatów i mieć odpowiedni certyfikat.

W tym samouczku użyto certyfikatu z podpisem własnym i wygenerowano certyfikat zawierający klucz prywatny w poprzednim kroku. Teraz wyeksportujmy, a następnie zainstalujmy certyfikat z podpisem własnym w magazynie zaufanych certyfikatów na komputerze klienckim:

1. Wróć do programu MMC na magazyn certyfikatów Certyfikaty (Komputer Lokalny) > Osobiste > Certyfikaty. Zostanie wyświetlony certyfikat z podpisem własnym utworzony w poprzednim kroku, taki jak aaddscontoso.com. Kliknij prawym przyciskiem na ten certyfikat, a następnie wybierz Wszystkie zadania > Eksportuj...

2. W Kreatorze eksportu certyfikatów wybierz przycisk Dalej.

3. Ponieważ nie potrzebujesz klucza prywatnego dla klientów, na stronie Eksportuj klucz prywatny wybierz pozycję Nie, nie eksportuj klucza prywatnego, a następnie wybierz przycisk Dalej.

4. Na stronie Format pliku eksportu wybierz X.509 kodowany Base-64 (.CER) jako format pliku dla eksportowanego certyfikatu:

   

5. Na stronie Plik do eksportu określ nazwę pliku i lokalizację, w której chcesz wyeksportować certyfikat, na przykład C:\Users\<account-name>\azure-ad-ds-client.cer.

6. Na stronie przeglądu wybierz przycisk Zakończ, aby wyeksportować certyfikat do pliku certyfikatu .CER. Po pomyślnym wyeksportowaniu certyfikatu zostanie wyświetlone okno dialogowe potwierdzenia.

Plik certyfikatu .CER można teraz rozpowszechniać na komputerach klienckich, które muszą zaufać bezpiecznemu połączeniu LDAP z zarządzaną domeną. Zainstalujmy certyfikat na komputerze lokalnym.

1. Otwórz Eksplorator plików i przejdź do lokalizacji, w której zapisano plik certyfikatu .CER, taki jak C:\Users\<account-name>\azure-ad-ds-client.cer.

2. Kliknij prawym przyciskiem myszy na plik certyfikatu .CER, a następnie wybierz pozycję Zainstaluj certyfikat.

3. W Kreatorze importu certyfikatów wybierz opcję przechowywania certyfikatu na komputerze lokalnym, a następnie wybierz przycisk Dalej:

   

4. Po wyświetleniu monitu wybierz pozycję Tak , aby zezwolić komputerowi na wprowadzanie zmian.

5. Wybierz Automatyczne wybieranie magazynu certyfikatów na podstawie typu certyfikatu, a następnie Dalej.

6. Na stronie przeglądu wybierz Zakończ, aby zaimportować certyfikat .CER. plik Zostanie wyświetlone okno dialogowe potwierdzenia po pomyślnym zaimportowaniu certyfikatu.

Włączanie protokołu Secure LDAP dla usług Microsoft Entra Domain Services

Po utworzeniu i wyeksportowaniu certyfikatu cyfrowego zawierającego klucz prywatny oraz komputera klienckiego ustawionego na zaufanie do połączenia włącz teraz bezpieczny protokół LDAP w domenie zarządzanej. Aby włączyć protokół Secure LDAP w domenie zarządzanej, wykonaj następujące kroki konfiguracji:

1. W centrum administracyjnym Microsoft Entra wprowadź usługi domenowe w polu Wyszukaj zasoby. Wybierz pozycję Microsoft Entra Domain Services z wyniku wyszukiwania.

2. Wybierz domenę zarządzaną, taką jak aaddscontoso.com.

3. Po lewej stronie okna usługi Microsoft Entra Domain Services wybierz pozycję Secure LDAP.

4. Domyślnie bezpieczny dostęp LDAP do domeny zarządzanej jest wyłączony. Przełącz opcję Secure LDAP , aby włączyć.

5. Bezpieczny dostęp LDAP do domeny zarządzanej przez Internet jest domyślnie wyłączony. Po włączeniu publicznego bezpiecznego dostępu LDAP domena jest podatna na ataki siłowe haseł przez Internet. W następnym kroku sieciowa grupa zabezpieczeń jest skonfigurowana do blokowania dostępu tylko do wymaganych zakresów źródłowych adresów IP.

   Przełącz opcję Zezwalaj na bezpieczny dostęp LDAP przez Internet , aby włączyć.

6. Wybierz ikonę folderu obok pliku PFX z certyfikatem secure LDAP. Przejdź do ścieżki pliku .PFX, a następnie wybierz certyfikat utworzony w poprzednim kroku, który zawiera klucz prywatny.

   Ważne

   Jak wspomniano w poprzedniej sekcji dotyczącej wymagań dotyczących certyfikatów, nie można użyć certyfikatu z publicznego urzędu certyfikacji z domyślną domeną .onmicrosoft.com . Firma Microsoft jest właścicielem domeny .onmicrosoft.com , więc publiczny urząd certyfikacji nie wystawi certyfikatu.

   Upewnij się, że certyfikat jest w odpowiednim formacie. Jeśli tak nie jest, platforma Azure generuje błędy weryfikacji certyfikatu po włączeniu protokołu Secure LDAP.

7. Wprowadź hasło, aby odszyfrować plik .PFX ustawiony w poprzednim kroku, gdy certyfikat został wyeksportowany do pliku .PFX.

8. Wybierz pozycję Zapisz , aby włączyć bezpieczny protokół LDAP.

   

Zostanie wyświetlone powiadomienie, że bezpieczny protokół LDAP jest konfigurowany dla domeny zarządzanej. Nie można modyfikować innych ustawień domeny zarządzanej, dopóki ta operacja nie zostanie ukończona.

Włączenie protokołu Secure LDAP dla domeny zarządzanej trwa kilka minut. Jeśli podany certyfikat Secure LDAP nie jest zgodny z wymaganymi kryteriami, akcja włączenia Secure LDAP dla domeny zarządzanej zakończy się niepowodzeniem.

Niektóre typowe przyczyny niepowodzenia są następujące: jeśli nazwa domeny jest nieprawidłowa, algorytm szyfrowania certyfikatu nie jest TripleDES-SHA1 lub certyfikat wkrótce wygaśnie lub już wygasł. Możesz ponownie utworzyć certyfikat z prawidłowymi parametrami, a następnie włączyć bezpieczny protokół LDAP przy użyciu tego zaktualizowanego certyfikatu.

Zmienianie wygasającego certyfikatu

1. Utwórz zastępczy certyfikat secure LDAP, wykonując kroki tworzenia certyfikatu dla protokołu Secure LDAP.
2. Aby zastosować certyfikat zastępczy do usług Domain Services, w menu po lewej stronie usług Microsoft Entra Domain Services w centrum administracyjnym firmy Microsoft Entra wybierz pozycję Secure LDAP, a następnie wybierz pozycję Zmień certyfikat.
3. Rozłóż certyfikat do wszystkich klientów, którzy łączą się przy użyciu protokołu Secure LDAP.

Blokowanie bezpiecznego dostępu LDAP przez Internet

Po włączeniu bezpiecznego dostępu LDAP przez Internet do domeny zarządzanej tworzy zagrożenie bezpieczeństwa. Domena zarządzana jest osiągalna z Internetu na porcie TCP 636. Zaleca się ograniczenie dostępu do domeny zarządzanej do określonych znanych adresów IP w danym środowisku. Reguła sieciowej grupy zabezpieczeń platformy Azure może służyć do ograniczania dostępu do bezpiecznego protokołu LDAP.

Utwórzmy regułę zezwalaną na przychodzący bezpieczny dostęp LDAP za pośrednictwem portu TCP 636 z określonego zestawu adresów IP. Domyślna reguła DenyAll z niższym priorytetem ma zastosowanie do wszystkich innych ruchu przychodzącego z Internetu, więc tylko określone adresy mogą dotrzeć do domeny zarządzanej przy użyciu protokołu Secure LDAP.

1. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Grupy zasobów.

2. Wybierz grupę zasobów, taką jak myResourceGroup, a następnie wybierz sieciową grupę zabezpieczeń, taką jak aaads-nsg.

3. Zostanie wyświetlona lista istniejących reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego. Po lewej stronie okna sieciowej grupy zabezpieczeń wybierz pozycję Ustawienia > Reguły zabezpieczeń dla ruchu przychodzącego.

4. Wybierz pozycję Dodaj, a następnie utwórz regułę, aby zezwolić na port TCP 636. Aby uzyskać lepsze bezpieczeństwo, wybierz źródło jako adresy IP, a następnie określ swój własny prawidłowy adres IP lub zakres dla swojej organizacji.

   Ustawienie	Wartość
   Źródło	Adresy IP
   Źródłowe adresy IP/zakresy CIDR	Prawidłowy adres IP lub zakres IP dla Twojego środowiska
   Zakresy portów źródłowych	*
   Cel podróży	Dowolne
   Zakresy portów docelowych	636
   Protokół	TCP
   Akcja	Zezwól
   Priorytet	401
   Nazwisko	Zezwól na LDAPS

5. Gdy wszystko będzie gotowe, wybierz pozycję Dodaj , aby zapisać i zastosować regułę.

   

Konfigurowanie strefy DNS na potrzeby dostępu zewnętrznego

Po włączeniu bezpiecznego dostępu LDAP przez Internet zaktualizuj strefę DNS, aby komputery klienckie mogły znaleźć tę domenę zarządzaną. Zewnętrzny adres IP protokołu Secure LDAP znajduje się na karcie Właściwości domeny zarządzanej:

Skonfiguruj zewnętrznego dostawcę DNS, aby utworzyć rekord hosta, taki jak ldaps, aby rozpoznać ten zewnętrzny adres IP. Aby najpierw przetestować aplikację lokalnie na maszynie, możesz utworzyć wpis w pliku hostów systemu Windows. Aby pomyślnie edytować plik hosts na komputerze lokalnym, otwórz Notatnik jako administrator, a następnie otwórz plik C:\Windows\System32\drivers\etc\hosts.

Poniższy przykładowy wpis DNS, zarówno u zewnętrznego dostawcy DNS, jak i w lokalnym pliku hostów, kieruje ruch dla ldaps.aaddscontoso.com na zewnętrzny adres IP 168.62.205.103.

168.62.205.103    ldaps.aaddscontoso.com

Testowanie zapytań do domeny zarządzanej

Aby połączyć się z domeną zarządzaną i przeszukiwać ją za pośrednictwem protokołu LDAP, użyj narzędzia LDP.exe. To narzędzie znajduje się w pakiecie Narzędzia administracji zdalnej serwera (RSAT). Aby uzyskać więcej informacji, zobacz instalowanie narzędzi administracji zdalnej serwera.

1. Otwórz LDP.exe i połącz się z domeną zarządzaną. Wybierz pozycję Połączenie, a następnie wybierz pozycję Połącz....
2. Wprowadź bezpieczną nazwę domeny DNS LDAP dla domeny zarządzanej utworzonej w poprzednim kroku, taką jak ldaps.aaddscontoso.com. Aby użyć protokołu Secure LDAP, ustaw wartość Port na 636, a następnie zaznacz pole wyboru dla protokołu SSL.
3. Wybierz przycisk OK , aby nawiązać połączenie z domeną zarządzaną.

Następnie połącz się z domeną zarządzaną. Użytkownicy (i konta usług) nie mogą wykonywać prostych powiązań LDAP, jeśli wyłączono synchronizację skrótów haseł NTLM w domenie zarządzanej. Aby uzyskać więcej informacji na temat wyłączania synchronizacji skrótów haseł NTLM, zobacz Zabezpieczanie domeny zarządzanej.

1. Wybierz opcję menu Połączenie, a następnie wybierz Połącz....
2. Podaj dane logowania do konta użytkownika, które należy do zarządzanej domeny. Wprowadź hasło konta użytkownika, a następnie wprowadź domenę, na przykład aaddscontoso.com.
3. W polu Typ powiązania wybierz opcję Wiązanie z poświadczeniami.
4. Wybierz przycisk OK , aby powiązać z domeną zarządzaną.

Aby wyświetlić obiekty przechowywane w domenie zarządzanej:

1. Wybierz opcję menu Widok, a następnie wybierz pozycję Drzewo.

2. Pozostaw pole BaseDN puste, a następnie wybierz przycisk OK.

3. Wybierz kontener, taki jak Użytkownicy usługi AADDC, a następnie wybierz prawym przyciskiem wyboru kontener i wybierz pozycję Wyszukaj.

4. Pozostaw zestaw wstępnie wypełnionych pól, a następnie wybierz pozycję Uruchom. Wyniki zapytania są wyświetlane w oknie po prawej stronie, jak pokazano w następujących przykładowych danych wyjściowych:

   

Aby bezpośrednio wykonać zapytanie dotyczące określonego kontenera, w menu Wyświetl > drzewo można określić nazwę BaseDN , taką jak OU=AADDC Users,DC=AADDSCONTOSO,DC=COM lub OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Aby uzyskać więcej informacji na temat formatowania i tworzenia zapytań, zobacz Podstawy zapytań LDAP.

Uwaga

Jeśli używany jest certyfikat z podpisem własnym, upewnij się, że został on dodany do zaufanych głównych urzędów certyfikacji, aby protokół LDAPS działał prawidłowo z LDP.exe.

Czyszczenie zasobów

Jeśli dodano wpis DNS do pliku hostów lokalnych komputera w celu przetestowania łączności na potrzeby tego samouczka, usuń ten wpis i dodaj formalny rekord w strefie DNS. Aby usunąć wpis z pliku hostów lokalnych, wykonaj następujące kroki:

1. Na komputerze lokalnym otwórz Notatnik jako administrator
2. Przejdź do pliku i otwórz plik C:\Windows\System32\drivers\etc\hosts.
3. Usuń wiersz dla dodanego rekordu, na przykład 168.62.205.103 ldaps.aaddscontoso.com

Rozwiązywanie problemów

Jeśli zostanie wyświetlony komunikat o błędzie informujący, że LDAP.exe nie może nawiązać połączenia, spróbuj pracować nad różnymi aspektami uzyskiwania połączenia:

1. Konfigurowanie kontrolera domeny
2. Konfigurowanie klienta
3. Nawiązywanie kontaktów
4. Ustanawianie sesji protokołu TLS

W przypadku dopasowania nazwy podmiotu certyfikatu kontroler domeny użyje nazwy domeny usług domenowych (a nie nazwy domeny Firmy Microsoft Entra), aby wyszukać magazyn certyfikatów dla certyfikatu. Na przykład błędy pisowni uniemożliwiają kontrolerowi domeny wybranie odpowiedniego certyfikatu.

Klient próbuje ustanowić połączenie TLS przy użyciu podanej nazwy. Ruch musi dotrzeć do końca bez przeszkód. Kontroler domeny wysyła klucz publiczny certyfikatu uwierzytelniania serwera. Certyfikat musi mieć odpowiednie zastosowanie, a nazwa podana w nazwie podmiotu musi być zgodna, aby klient ufał, że serwer jest faktycznie nazwą DNS, z którą się łączysz (czyli, że użycie symbolu wieloznacznego będzie działać, pod warunkiem braku błędów pisowni), a klient musi ufać wystawcy. Możesz sprawdzić wszelkie problemy w tym łańcuchu w dzienniku systemowym w Podglądzie zdarzeń i filtrować zdarzenia, gdzie źródło to Schannel. Gdy te elementy są na miejscu, tworzą klucz sesji.

Aby uzyskać więcej informacji, zobacz handshake TLS.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Tworzenie certyfikatu cyfrowego do użycia z usługami Microsoft Entra Domain Services
• Włączanie protokołu Secure LDAP dla usług Microsoft Entra Domain Services
• Konfigurowanie protokołu Secure LDAP do użycia za pośrednictwem publicznego Internetu
• Wiązanie i testowanie bezpiecznego protokołu LDAP dla domeny zarządzanej

Konfigurowanie synchronizacji skrótów haseł dla hybrydowego środowiska firmy Microsoft Entra