SourceOne Email Management: Query's naar Microsoft LDAP-servers mislukken nadat LDAP-bindingen in leesbare tekst voorkomen worden door beveiligingsverharding

Query's naar Microsoft LDAP-servers kunnen mislukken nadat het verharden van de beveiliging voorkomt dat LDAP-bindingen in leesbare tekst worden gemaakt. Dit kan van invloed zijn op de definitie van een nieuwe activiteit of op bestaande activiteiten die gebruikmaken van niet-veilige LDAP-verificatiemethoden.  

Voorbeeld 1: Kan geen nieuwe activiteit definiëren met LDAP:
Tijdens het opzetten van een Activiteit; bij het testen van een LDAP-query op de configuratiepagina van Select Datasources wordt het volgende weergegeven nadat u op de knop "Execute" hebt gedrukt:

Aansluiten...
Verbonden.
Uitvoeren van query <LDAP-query hier>
: LDAP-query mislukt

Opmerking: Deze fout is algemeen en kan er ook op wijzen dat de query is mislukt omdat de querysyntaxis slecht is en niet te wijten is aan een authenticatieprobleem.

Als de query mislukt, registreert de ExMMCAdmin.dll.log ook de volgende fout die een verificatiefout aangeeft:
CoExLDAPClient::TestConnection|FOUT|Sterke verificatie vereist System call failed. (0x86040100)|CoExLDAPClient.cpp(256)


Voorbeeld 2: Bestaande activiteiten worden niet uitgevoerd
Activiteiten kunnen terugkerende taken genereren die zijn gedefinieerd, uitgevoerd op een geselecteerd tijdstip. Wanneer deze wordt uitgevoerd, mislukt de bijbehorende JBS-taak. Voordat de beveiliging wordt versterkt, slagen zowel de JBS- als de JBC-taken.  

Voorbeeld: een taak "Archive Historical" wordt niet uitgevoerd. De bijbehorende ExArchiveJBS.exe.log registreert de volgende fouten na elke fout:

CoExDirObjLookup::ExecuteLDAPSearch|FOUT|De volgende LDAP-query is mislukt: <LDAP-query hier>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Run|ERROR-LOGD|De volgende LDAP-query is mislukt: <LDAP-query hier>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Aangezien de ExArchiveJBS.exe niet is voltooid, zijn er geen taken met een taak van het type "Archive JBC" gegenereerd. Hierdoor worden mailboxen niet verwerkt. 

 

Dit probleem kan zich voordoen als de toegang tot Active Directory via LDAP is versterkt en geen onbeveiligde verbinding meer ondersteunt. Het afdwingen van LDAP-kanaalbinding en LDAP-ondertekening biedt geen ondersteuning meer voor onbeveiligde toegang tot LDAP via poort 389.  Raadpleeg het Microsoft-beveiligingsadvies ADV190023. 
Microsoft stelt: "De 10 maart 2020 en updates in de nabije toekomst zullen geen wijzigingen aanbrengen in LDAP-ondertekening of LDAP-kanaalbindingsbeleid of hun registerequivalent op nieuwe of bestaande domeincontrollers."
Het afdwingen van deze beveiligingsinstellingen is optioneel, maar sommige beheerders kunnen ervoor kiezen om beveiligde verbindingen af te dwingen als best practice. Dit kan ertoe leiden dat onbeveiligde verbindingen mislukken. 

Activiteiten kunnen worden bijgewerkt of gedefinieerd voor het gebruik van Active Directory Service Interfaces (ADSI) of LDAP via SSL.

Active Directory Service Interfaces (ADSI) inschakelen:

• Bewerk bestaande activiteiten of ga bij het maken van activiteiten naar de configuratiepagina Databronnen selecteren.
• Schakel het selectievakje Microsoft ADSI gebruiken in. Als het selectievakje is uitgeschakeld, klikt u op de knop Bewerken en selecteert u Server ondersteunt Microsoft ADSI Search. 
• Druk op OK en het vakje Gebruik Microsoft ADSI kan nu worden geselecteerd.
• De query kan nu worden getest met behulp van het querydialoogvenster en de knop Execute.
• Bevestig dat de query wordt uitgevoerd en de verwachte resultaten retourneert.
• Ga verder met de configuratiewizard om de update van de activiteit te voltooien.

LDAP via SSL inschakelen: Voordat u de LDAP-server configureert,
moet u een vertrouwd certificaat in het Windows-certificaatarchief hebben waarmee LDAP via SSL-verbindingen met een of meer Activity Directory-servers mogelijk is. 

• Bewerk bestaande activiteiten of ga bij het maken van nieuwe activiteiten naar de configuratiepagina Databronnen selecteren.
• Klik op de knop Bewerken en selecteer Server vereist beveiligde verbinding 
• Druk naast Serverpoort op Standaard gebruiken, waardoor de poort wordt bijgewerkt naar 636.  
•   Opmerking: Als LDAP via SSL een aangepaste poort gebruikt, voert u het aangepaste poortnummer in.
• Druk op OK om de wijzigingen in de serverconfiguratie bij te werken.
• De query kan nu worden getest met behulp van het querydialoogvenster en de knop Execute.
• Bevestig dat de query wordt uitgevoerd en de verwachte resultaten retourneert.
• Ga verder met de configuratiewizard om de update van de activiteit te voltooien.