SourceOne Email Management: Frågor till Microsoft LDAP-servrar misslyckas efter att säkerhetshärdning förhindrar LDAP-bindningar i klartext

Frågor till Microsoft LDAP-servrar kan misslyckas efter att säkerhetshärdning förhindrar LDAP-bindningar i klartext. Detta kan påverka definitionen av en ny aktivitet eller befintliga aktiviteter som använder icke-säkra LDAP-autentiseringsmetoder.  

Exempel 1: Det går inte att definiera en ny aktivitet med LDAP:
Under installationen av en aktivitet; När du testar en LDAP-fråga på konfigurationssidan Välj datakällor visas följande när du har tryckt på knappen "Execute":

Ansluta...
Ansluten.
Körning av <fråga LDAP-fråga här LDAP-fråga misslyckades>

Obs! Det här felet är allmänt och kan också tyda på att frågan misslyckades eftersom frågesyntaxen är felaktig och inte beror på ett autentiseringsproblem.

Om frågan misslyckas registrerar ExMMCAdmin.dll.log även följande fel som indikerar ett autentiseringsfel:
CoExLDAPClient::TestConnection|FEL|Stark autentisering krävs Systemanropet misslyckades. (0x86040100)|CoExLDAPClient.cpp(256)


Exempel 2: Det går inte att köra
befintliga aktiviteterAktiviteter kan generera återkommande jobb som definieras och körs vid en vald tidpunkt. När det körs misslyckas det associerade JBS-jobbet. Innan säkerhetshärdning lyckas både JBS- och JBC-jobben.  

Exempel: det går inte att köra ett "Arkivhistoriskt"-jobb. Den associerade ExArchiveJBS.exe.log loggar följande fel efter varje fel:

CoExDirObjLookup::ExecuteLDAPSearch|FEL|Följande LDAP-fråga misslyckades: <LDAP-fråga här>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Kör|FELLOGGAD |Följande LDAP-fråga misslyckades: <LDAP-fråga här>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Eftersom ExArchiveJBS.exe inte slutfördes genererades inga jobb med en uppgift av typen "Archive JBC". Därför bearbetas inte postlådor. 

 

Det här problemet kan uppstå om åtkomst till Active Directory via LDAP har förstärkts och inte längre stöder en osäker anslutning. Tillämpning av LDAP-kanalbindning och LDAP-signering kommer inte längre att stödja osäker åtkomst till LDAP via port 389.  Se Microsofts säkerhetsrekommendation ADV190023. 
Microsoft uppger att "Den 10 mars 2020 och uppdateringar inom överskådlig framtid kommer inte att göra ändringar i LDAP-signering eller LDAP-kanalbindningspolicyer eller deras registermotsvarighet på nya eller befintliga domänkontrollanter."
Det är valfritt att tillämpa dessa säkerhetsinställningar, men vissa administratörer kan välja att tillämpa säkra anslutningar som bästa praxis. Den här tillämpningen kan orsaka att osäkra anslutningar misslyckas. 

Aktiviteter kan uppdateras eller definieras för att använda ADSI (Active Directory Service Interfaces) eller LDAP via SSL.

Så här aktiverar du ADSI (Active Directory Service Interfaces):

• Redigera befintliga aktiviteter eller gå till konfigurationssidan Välj datakällor när du skapar aktiviteter.
• Markera kryssrutan Använd Microsoft ADSI. Om kryssrutan är avmarkerad klickar du på knappen Redigera och väljer Servern har stöd för Microsoft ADSI-sökning. 
• Tryck på OK så kan rutan Använd Microsoft ADSI nu väljas.
• Frågan kan nu testas med hjälp av frågedialogrutan och knappen Kör.
• Verifiera att frågan körs och returnerar förväntade resultat.
• Fortsätt genom konfigurationsguiden för att slutföra uppdateringen av aktiviteten.

Så här aktiverar du LDAP över SSL:
Innan du konfigurerar LDAP-servern måste den ha ett betrott certifikat i Windows certifikatarkiv som tillåter LDAP över SSL-anslutningar till en eller flera aktivitetskatalogservrar. 

• Redigera befintliga aktiviteter eller när du skapar nya aktiviteter går du till konfigurationssidan Välj datakällor.
• Klicka på knappen Redigera och välj Servern kräver säker anslutning 
• Bredvid Serverport trycker du på Använd standard för att uppdatera porten till 636.  
•   Obs! Om LDAP över SSL använder en anpassad port anger du det anpassade portnumret.
• Tryck på OK för att uppdatera ändringarna i serverkonfigurationen.
• Frågan kan nu testas med hjälp av frågedialogrutan och knappen Kör.
• Verifiera att frågan körs och returnerar förväntade resultat.
• Fortsätt genom konfigurationsguiden för att slutföra uppdateringen av aktiviteten.