已知問題:Microsoft Entra Domain Services 中的安全 LDAP 警示
使用輕量型目錄存取通訊協定 (LDAP)、與 Microsoft Entra Domain Services 進行通訊的應用程式和服務可以設定為使用安全的 LDAP。 必須開啟適當的憑證和必要的網路連接埠,安全 LDAP 才能正常運作。
本文可協助您了解並解析 Domain Services 中具有安全 LDAP 存取的常見警示。
AADDS101:安全的 LDAP 網路設定
警示訊息
受控網域已啟用透過網際網路的安全 LDAP。 不過,卻未使用網路安全性群組鎖定連接埠 636 的存取。 這可能會使受控網域上的使用者帳戶暴露於暴力密碼破解攻擊的威脅之下。
解決方法
當您啟用安全 LDAP 時,建議您建立額外的規則來限制特定 IP 位址的輸入 LDAPS 存取。 這些規則可保護受控網域免於遭受暴力密碼破解攻擊。 若要更新網路安全性群組以限制安全 LDAP 的 TCP 通訊埠 636 存取,請完成下列步驟:
- 在 Microsoft Entra 系統管理中心中,搜尋並選取 [網路安全性群組]。
- 選擇與受控網域相關聯的網路安全性群組,例如 AADDS-contoso.com-NSG,然後選取 Inbound security rules
- 選取 [+ 新增] 以建立 TCP 通訊埠 636 的規則。 如有需要,請在視窗中選取 [進階] 以建立規則。
- 針對 [來源],從下拉式功能表中選擇 [IP 位址]。 輸入您想要授與安全 LDAP 流量存取權的來源 IP 位址。
- 選擇 [任何] 作為 [目的地],然後針對 [目的地連接埠範圍] 輸入 [636]。
- 將 [通訊協定] 設定為 [TCP],並將 [動作] 設定為 [允許]。
- 指定規則的優先順序,然後輸入如 RestrictLDAPS 的名稱。
- 就緒時,選取 [新增] 以建立規則。
受控網域的健康情況會在兩小時內自動更新,並移除警示。
提示
TCP 連接埠 636 並不是 Domain Services 順利執行所需的唯一規則。 若要深入了解,請參閱 Domain Services 網路安全性群組和必要連接埠。
AADDS502:安全 LDAP 憑證過期
警示訊息
受控網域的安全 LDAP 憑證將於 [date] 到期。
解決方法
請遵循 建立安全 LDAP 憑證 的步驟,建立取代安全 LDAP 憑證。 將取代憑證套用至 Domain Services,並將憑證散發給任何使用安全 LDAP 連線的用戶端。
下一步
如果仍有問題,請開立 Azure 支援要求,以取得更多疑難排解協助。