SourceOne Email Management: 보안 강화로 인해 일반 텍스트 LDAP 바인딩이 금지된 후 Microsoft LDAP 서버에 대한 쿼리가 실패함

보안 강화로 인해 일반 텍스트 LDAP 바인딩이 차단된 후 Microsoft LDAP 서버에 대한 쿼리가 실패할 수 있습니다. 이는 비보안 LDAP 인증 방법을 사용하는 새 활동 또는 기존 활동의 정의에 영향을 줄 수 있습니다.  

예 1: LDAP를 사용하여 새 활동을 정의할 수 없음:
활동을 설정하는 동안; 데이터 소스 선택 구성 페이지에서 LDAP 쿼리를 테스트할 때 "실행" 버튼을 누르면 다음이 표시됩니다.

연결...
연결.
여기에서>
LDAP <쿼리 실행 LDAP 쿼리 실패

참고: 이 오류는 일반적이며 인증 문제가 아닌 쿼리 구문이 잘못되어 쿼리가 실패했음을 나타낼 수도 있습니다.

쿼리가 실패하면 ExMMCAdmin.dll.log는 인증 오류를 나타내는 다음 오류도 기록합니다.
CoExLDAPClient::TestConnection|오류 |강력한 인증 필요 시스템 호출에 실패했습니다. (0x86040100)|CoExLDAPClient.cpp(256)


예 2: 기존 활동을 실행
하지 못함활동은 선택한 시간에 실행되도록 정의된 반복 작업을 생성할 수 있습니다. 실행 시 연결된 JBS 작업이 실패합니다. 보안 강화 전에는 JBS와 JBC 작업이 모두 성공합니다.  

예: "기록 보관" 작업이 실행되지 않습니다. 연결된 ExArchiveJBS.exe.log는 각 실패 후 다음 오류를 기록합니다.

CoExDirObjLookup::ExecuteLDAPSearch |오류 |다음 LDAP 쿼리가 실패했습니다. <LDAP 쿼리 위치> (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::실행|오류 기록 |다음 LDAP 쿼리가 실패했습니다. <LDAP 쿼리 위치> (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

ExArchiveJBS.exe 완료되지 않았으므로 "아카이브 JBC" 유형의 작업이 생성되지 않았습니다. 따라서 사서함이 처리되지 않습니다. 

 

이 문제는 LDAP를 통한 Active Directory 액세스가 강화되어 보안되지 않은 연결이 더 이상 지원되지 않는 경우에 발생할 수 있습니다. LDAP 채널 바인딩 및 LDAP 서명 적용은 더 이상 포트 389를 통한 LDAP에 대한 보안되지 않은 액세스를 지원하지 않습니다.  Microsoft 보안 권고 ADV190023 참조하십시오. 
Microsoft는 "2020 년 3 월 10 일 및 가까운 장래에 업데이트는 LDAP 서명 또는 LDAP 채널 바인딩 정책 또는 신규 또는 기존 도메인 컨트롤러의 레지스트리에 상응하는 항목을 변경하지 않을 것"이라고 명시합니다.
이러한 보안 설정의 적용은 선택 사항이지만 일부 관리자는 모범 사례로 보안 연결을 적용하도록 선택할 수 있습니다. 이 적용으로 인해 안전하지 않은 연결이 실패할 수 있습니다. 

ADSI(Active Directory Service Interfaces) 또는 SSL을 통한 LDAP를 사용하도록 활동을 업데이트하거나 정의할 수 있습니다.

ADSI(Active Directory Service Interfaces)를 활성화하려면 다음을 수행합니다.

• 기존 작업을 편집하거나 작업을 생성할 때 데이터 소스 구성 선택 페이지로 이동합니다.
• Use Microsoft ADSI 확인란을 선택합니다. 확인란이 비활성화된 경우 편집 버튼을 클릭하고 서버가 Microsoft ADSI 검색 지원을 선택합니다. 
• OK를 누르면 Use Microsoft ADSI 상자가 선택될 수 있습니다.
• 이제 쿼리 대화 상자와 실행 버튼을 사용하여 쿼리를 테스트할 수 있습니다.
• 쿼리가 실행되었는지 확인하고 예상 결과를 반환합니다.
• 구성 마법사를 계속 진행하여 활동 업데이트를 완료합니다.

SSL을 통해 LDAP를 활성화하려면:
LDAP 서버를 구성하기 전에 하나 이상의 활동 디렉토리 서버에 대한 SSL을 통한 LDAP 연결을 허용하는 Windows 인증서 저장소에 신뢰할 수 있는 인증서가 있어야 합니다. 

• 기존 활동을 편집하거나 새 활동을 만들 때 데이터 소스 선택 구성 페이지로 이동합니다.
• 편집 버튼을 클릭하고 서버에 보안 연결 필요를 선택합니다. 
• Server Port 옆에 있는 Use Default를 누르면 포트가 636으로 업데이트됩니다.  
•   참고: SSL을 통한 LDAP에서 사용자 지정 포트를 사용하는 경우 사용자 지정 포트 번호를 입력합니다.
• OK를 눌러 서버 구성에 대한 변경 사항을 업데이트합니다.
• 이제 쿼리 대화 상자와 실행 버튼을 사용하여 쿼리를 테스트할 수 있습니다.
• 쿼리가 실행되었는지 확인하고 예상 결과를 반환합니다.
• 구성 마법사를 계속 진행하여 활동 업데이트를 완료합니다.