对 Microsoft Entra 域服务托管域的安全 LDAP 连接问题进行故障排除
使用轻型目录访问协议 (LDAP) 与 Microsoft Entra 域服务进行通信的应用程序和服务可以配置为使用安全 LDAP。 必须打开相应的证书和所需的网络端口,才能使安全 LDAP 正常工作。
可根据本文排查 Microsoft Entra 域服务中安全 LDAP 访问的问题。
常见的连接问题
如果使用安全 LDAP 连接到 Microsoft Entra 域服务托管域时遇到问题,请查看以下故障排除步骤。 在每个故障排除步骤之后,尝试再次连接到托管域:
- 安全 LDAP 证书的证书颁发者链在客户端上必须受信任。 可以将根证书颁发机构 (CA) 添加到客户端上受信任的根证书存储以建立信任。
- 请确保导出证书并将其应用于客户端计算机。
- 验证托管域的安全 LDAP 证书具有“使用者”或“使用者可选名称”属性中的 DNS 名称 。
- 检查安全 LDAP 证书要求,如果需要,创建一个替换证书。
- 验证 LDAP 客户端(例如 ldp.exe)连接到安全 LDAP 终结点时使用的是 DNS 名称,而不是 IP 地址。
- 应用到托管域的证书不包括服务的 IP 地址,只含有 DNS 名称。
- 检查 LDAP 客户端连接到的 DNS 名称。 它必须解析为托管域中安全 LDAP 的公共 IP 地址。
- 如果 DNS 名称解析为内部 IP 地址,则更新 DNS 记录以解析为外部 IP 地址。
- 对于外部连接,网络安全组必须包含允许 internet 到 TCP 端口 636 的流量的规则。
- 如果可以使用安全 LDAP 从直接连接到虚拟网络的资源(但不是外部连接)连接到托管域,请确保创建网络安全组规则以允许安全 LDAP 通信。
后续步骤
如果仍有问题,请发起 Azure 支持请求以获得额外的疑难解答帮助。