SourceOne Email Management: As consultas aos servidores LDAP da Microsoft falham depois que o fortalecimento da segurança impede vinculações LDAP de texto não criptografadas

As consultas aos servidores LDAP da Microsoft podem falhar depois que o fortalecimento da segurança impede as vinculações LDAP de texto não criptografado. Isso pode afetar a definição de uma nova atividade ou de atividades existentes que usam métodos de autenticação LDAP não seguros.  

Exemplo 1: Não foi possível definir uma nova atividade usando LDAP:
Durante, a configuração de uma Atividade; ao testar uma consulta LDAP na página de configuração Select Datasources, o seguinte é exibido após pressionar o botão "Execute":

Conectar...
Conectado.
Executando a consulta <LDAP aqui>
Falha na consulta LDAP

Nota: Esse erro é genérico e também pode indicar que a consulta falhou porque a sintaxe da consulta está incorreta e não devido a um problema de autenticação.

Se a consulta falhar, o ExMMCAdmin.dll.log também registrará o seguinte erro que indica um erro de autenticação:
CoExLDAPClient::TestConnection|ERRO|Autenticação forte necessária Falha na chamada do sistema. (0x86040100)|CoExLDAPClient.cpp(256)


Exemplo 2: As atividades existentes não são executadas
As atividades podem gerar trabalhos recorrentes que são definidos e executados em um horário selecionado. Quando executado, o trabalho JBS associado falha. Antes do fortalecimento da segurança, os trabalhos da JBS e da JBC são bem-sucedidos.  

Exemplo: um trabalho "Archive Historical" falha ao ser executado. O ExArchiveJBS.exe.log associado registra os seguintes erros após cada falha:

CoExDirObjLookup::ExecuteLDAPSearch|ERRO|Falha na seguinte consulta LDAP: <Consulta LDAP aqui>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Executar|REGISTRO DE ERROS|Falha na seguinte consulta LDAP: <Consulta LDAP aqui>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Como o ExArchiveJBS.exe não foi concluído, nenhum trabalho com uma tarefa do tipo "JBC de arquivo" foi gerado. Como resultado, as caixas de correio não são processadas. 

 

Esse problema poderá ocorrer se o acesso ao Active Directory via LDAP tiver sido reforçado e não for mais compatível com uma conexão não segura. A imposição da vinculação de canal LDAP e da assinatura LDAP não aceitará mais o acesso não seguro ao LDAP pela porta 389.  Consulte o Comunicado de Segurança da Microsoft ADV190023. 
A Microsoft afirma que "As atualizações de 10 de março de 2020 e no futuro previsível não farão alterações na assinatura LDAP ou nas políticas de vinculação de canal LDAP ou em seu equivalente de registro em controladores de domínio novos ou existentes."
A imposição dessas configurações de segurança é opcional, no entanto, alguns administradores podem optar por impor conexões seguras como uma prática recomendada. Essa imposição pode causar falha em conexões não seguras. 

As atividades podem ser atualizadas ou definidas para usar o Active Directory Service Interfaces (ADSI) ou LDAP sobre SSL.

Para habilitar as interfaces de serviço do Active Directory (ADSI):

• Edite atividades existentes ou, ao criar atividades, vá para a página de configuração Select Datasources.
• Marque a caixa de seleção Usar o Microsoft ADSI. Se a caixa de seleção estiver desativada, clique no botão Edit e selecione Server supports Microsoft ADSI Search. 
• Pressione OK e a caixa Usar o Microsoft ADSI agora pode ser selecionada.
• Agora, é possível testar a consulta usando a caixa de diálogo de consulta e o botão Executar.
• Valide se a consulta é executada e retorna os resultados esperados.
• Continue pelo assistente de configuração para concluir a atualização da atividade.

Para habilitar o LDAP sobre SSL:
Antes de configurar o servidor LDAP deve ter um certificado confiável no armazenamento de certificados do Windows que permitirá LDAP sobre conexões SSL para um ou mais servidores do diretório de atividade. 

• Edite atividades existentes ou, ao criar novas atividades, vá para a página de configuração Select Datasources.
• Clique no botão Edit e selecione O servidor requer conexão segura 
• Ao lado de Server Port, pressione Use Default, que atualiza a porta para 636.  
•   Nota: Se o LDAP sobre SSL usar uma porta personalizada, digite o número da porta personalizada.
• Pressione OK para atualizar as alterações na configuração do servidor.
• Agora, é possível testar a consulta usando a caixa de diálogo de consulta e o botão Executar.
• Valide se a consulta é executada e retorna os resultados esperados.
• Continue pelo assistente de configuração para concluir a atualização da atividade.