SourceOne Email Management. Запросы к серверам Microsoft LDAP завершаются сбоем после того, как усиление безопасности препятствует привязкам LDAP с открытым текстом

Запросы к серверам LDAP Майкрософт могут завершаться сбоем после того, как усиление безопасности препятствует привязкам LDAP с открытым текстом. Это может повлиять на определение нового действия или существующих действий, использующих небезопасные методы проверки подлинности LDAP.  

Пример 1 Не удается определить новое действие с помощью LDAP:
Во время настройки Мероприятия. при тестировании запроса LDAP на странице конфигурации Select Datasources после нажатия кнопки «Execute» отображается следующее:

Соединительный...
Связанный.
Выполнение запроса <LDAP здесь>
Сбой запроса LDAP

Примечание. Эта ошибка носит общий характер и может также указывать на то, что запрос завершился сбоем из-за неправильного синтаксиса запроса, а не из-за проблемы с проверкой подлинности.

Если запрос завершается сбоем, ExMMCAdmin.dll.log также записывает следующую ошибку, указывающую на ошибку аутентификации:
CoExLDAPClient::TestConnection|ОШИБКА|Требуется строгая проверка подлинности Сбой системного вызова. (0x86040100)|CoExLDAPClient.cpp(256)


Пример 2: Не удается запустить
существующие мероприятияДействия могут создавать повторяющиеся задания, которые определены для выполнения в выбранное время. При запуске связанное задание JBS завершается сбоем. Перед усилением безопасности задания JBS и JBC успешно выполняются.  

Пример. Не удается выполнить задание «Archive Historical». После каждого сбоя связанный ExArchiveJBS.exe.log регистрирует следующие ошибки:

CoExDirObjLookup::ExecuteLDAPSearch|ОШИБКА|Следующий запрос LDAP завершился сбоем: <Запрос LDAP здесь>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Выполнить|ЖУРНАЛ ОШИБОК|Следующий запрос LDAP завершился сбоем: <Запрос LDAP здесь>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)Так

как ExArchiveJBS.exe не был завершен, задания с задачей типа "Архив JBC" не создавались. В результате почтовые ящики не обрабатываются. 

 

Эта проблема может возникнуть, если доступ к Active Directory по протоколу LDAP усилен и больше не поддерживает незащищенное подключение. Принудительное применение привязки каналов LDAP и добавления подписи LDAP больше не будет поддерживать незащищенный доступ к LDAP через порт 389.  См. Консультационные ADV190023 по безопасности Microsoft. 
Microsoft заявляет: «10 марта 2020 г. и обновления в обозримом будущем не будут вносить изменения в политики привязки подписей LDAP или каналов LDAP или их эквивалент в реестре на новых или существующих контроллерах домена».
Принудительное применение этих параметров безопасности не является обязательным, однако некоторые администраторы могут выбрать принудительное применение защищенных подключений в качестве передовой практики. Это может привести к сбою незащищенных подключений. 

Действия могут быть обновлены или определены для использования интерфейсов служб Active Directory (ADSI) или LDAP через SSL.

Чтобы включить интерфейсы службы Active Directory (ADSI), выполните следующие действия.

• Измените существующие действия или при создании действий перейдите на страницу конфигурации Select Datasources.
• Установите флажок Использовать Microsoft ADSI. Если этот флажок снят, нажмите кнопку Изменить и выберите Сервер поддерживает поиск Microsoft ADSI. 
• Нажмите OK, и теперь можно выбрать поле «Использовать Microsoft ADSI».
• Теперь запрос можно проверить с помощью диалогового окна запроса и кнопки Выполнить.
• Проверка выполнения запроса и возврата ожидаемых результатов.
• Продолжите работу с помощью мастера настройки, чтобы завершить обновление действия.

Чтобы включить LDAP через SSL,
перед настройкой сервер LDAP должен иметь доверенный сертификат в хранилище сертификатов Windows, который будет разрешать подключения LDAP через SSL к одному или нескольким серверам каталога действий. 

• Измените существующие действия или при создании новых действий перейдите на страницу конфигурации «Выбор источников данных».
• Нажмите кнопку Редактировать и выберите Серверу требуется безопасное подключение 
• Рядом с портом сервера нажмите Использовать по умолчанию, чтобы обновить порт до 636.  
•   Примечание. Если LDAP over SSL использует пользовательский порт, введите его номер.
• Нажмите OK, чтобы обновить изменения в конфигурации сервера.
• Теперь запрос можно проверить с помощью диалогового окна запроса и кнопки Выполнить.
• Проверка выполнения запроса и возврата ожидаемых результатов.
• Продолжите работу с помощью мастера настройки, чтобы завершить обновление действия.