SourceOne Email Management: Las consultas a los servidores LDAP de Microsoft fallan después de que el refuerzo de la seguridad impide los enlaces LDAP de texto no cifrado

Las consultas a los servidores LDAP de Microsoft pueden fallar después de que el reforzamiento de la seguridad impida los enlaces LDAP de texto no cifrado. Esto puede afectar la definición de una nueva actividad o las actividades existentes que utilizan métodos de autenticación LDAP no seguros.  

Ejemplo 1: No se puede definir una nueva actividad mediante LDAP:
Durante, la configuración de una Actividad; cuando se prueba una consulta de LDAP en la página de configuración Select Datasources, se muestra lo siguiente después de presionar el botón "Execute":

Conectivo...
Conexo.
Falló la ejecución de la <consulta de LDAP aquí>

Nota: Este error es genérico y también puede indicar que la consulta falló porque la sintaxis de la consulta es incorrecta y no se debe a un problema de autenticación.

Si la consulta falla, el ExMMCAdmin.dll.log también registra el siguiente error que indica un error de autenticación:
CoExLDAPClient::TestConnection|ERROR|Se requiere autenticación sólida La llamada del sistema falló. (0x86040100)|CoExLDAPClient.cpp(256)


Ejemplo 2: Las actividades existentes no se ejecutan
Las actividades pueden generar trabajos recurrentes que se definen y se ejecutan en un momento seleccionado. Cuando se ejecuta, el trabajo JBS asociado falla. Antes del reforzamiento de seguridad, los trabajos de JBS y JBC se realizan correctamente.  

Ejemplo: no se ejecuta un trabajo "Archive Historical". El ExArchiveJBS.exe.log asociado registra los siguientes errores después de cada falla:

CoExDirObjLookup::ExecuteLDAPSearch|ERROR|Falló la siguiente consulta de LDAP: <Consulta de LDAP aquí>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Run|ERROR-LOGD|Falló la siguiente consulta de LDAP: <Consulta de LDAP aquí>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Dado que el ExArchiveJBS.exe no se completó, no se generaron trabajos con una tarea de tipo "Archivo JBC". Como resultado, los buzones de correo no se procesan. 

 

Este problema puede ocurrir si el acceso a Active Directory a través de LDAP se reforzó y ya no es compatible con una conexión no segura. La aplicación de la vinculación de canal de LDAP y la firma de LDAP ya no admitirá el acceso no seguro a LDAP a través del puerto 389.  Consulte la asesoría de seguridad de Microsoft ADV190023. 
Microsoft afirma que "el 10 de marzo del 2020 y las actualizaciones en el futuro previsible no realizarán cambios en las políticas de firma o enlace de canal LDAP o su equivalente de registro en controladores de dominio nuevos o existentes".
La aplicación de estos ajustes de seguridad es opcional; sin embargo, algunos administradores pueden optar por aplicar conexiones seguras como una práctica recomendada. Esta aplicación puede hacer que fallen las conexiones no seguras. 

Las actividades se pueden actualizar o definir para utilizar las interfaces de servicio de Active Directory (ADSI) o LDAP mediante SSL.

Para activar las interfaces de servicio de Active Directory (ADSI):

• Edite las actividades existentes o, cuando cree actividades, vaya a la página de configuración Select Datasources.
• Seleccione la casilla de verificación Usar ADSI de Microsoft. Si la casilla de verificación está desactivada, haga clic en el botón Editar y seleccione El servidor admite la búsqueda ADSI de Microsoft. 
• Presione Aceptar y ahora se puede seleccionar la casilla Usar ADSI de Microsoft.
• La consulta ahora se puede probar mediante el cuadro de diálogo de consulta y el botón Ejecutar.
• Valide las ejecuciones de la consulta y devuelva los resultados esperados.
• Continúe avanzando en el asistente de configuración para completar la actualización de la actividad.

Para habilitar LDAP mediante SSL:
antes de configurar, el servidor LDAP debe tener un certificado de confianza en el almacén de certificados de Windows, el cual permitirá las conexiones LDAP mediante SSL a uno o más servidores del directorio de actividad. 

• Edite las actividades existentes o, cuando cree actividades nuevas, vaya a la página de configuración Select Datasources.
• Haga clic en el botón Editar y seleccione El servidor requiere conexión segura 
• Junto a Puerto del servidor, presione Usar predeterminado, lo que actualizará el puerto a 636.  
•   Nota: Si LDAP mediante SSL utiliza un puerto personalizado, ingrese el número de puerto personalizado.
• Presione OK para actualizar los cambios en la configuración del servidor.
• La consulta ahora se puede probar mediante el cuadro de diálogo de consulta y el botón Ejecutar.
• Valide las ejecuciones de la consulta y devuelva los resultados esperados.
• Continúe avanzando en el asistente de configuración para completar la actualización de la actividad.