SourceOne Email Management: Le query ai server LDAP Microsoft hanno esito negativo dopo che la protezione avanzata impedisce associazioni LDAP in testo non crittografato

Le query ai server LDAP Microsoft potrebbero avere esito negativo dopo che la protezione avanzata impedisce associazioni LDAP in chiaro. Ciò può influire sulla definizione di una nuova attività o sulle attività esistenti che utilizzano metodi di autenticazione LDAP non protetti.  

Esempio 1: Impossibile definire una nuova attività utilizzando LDAP:
Durante, la configurazione di un'Attività; quando si esegue il test di una query LDAP nella pagina di configurazione Select Datasources, viene visualizzato quanto segue dopo aver premuto il pulsante "Execute":

Connettivo...
Connesso.
Esecuzione query <LDAP qui>
: query LDAP non riuscita

Nota: Questo errore è generico e può anche indicare che la query non è riuscita perché la sintassi della query non è valida e non a causa di un problema di autenticazione.

Se la query ha esito negativo, il ExMMCAdmin.dll.log registra anche il seguente errore che indica un errore di autenticazione:
CoExLDAPClient::TestConnection|ERRORE|Richiesta autenticazione forte Chiamata di sistema non riuscita. (0x86040100)|CoExLDAPClient.cpp(256)


Esempio 2: Impossibile eseguire
le attività esistentiLe attività possono generare job ricorrenti definiti come eseguiti in un momento selezionato. Quando viene eseguito, il lavoro JBS associato ha esito negativo. Prima del rafforzamento della sicurezza, sia i job JBS che JBC hanno esito positivo.  

Esempio: non è possibile eseguire un lavoro "Archive Historical". Dopo ogni errore, il ExArchiveJBS.exe.log associato registra i seguenti errori:

CoExDirObjLookup::EsecuzioneLDAPSearch|ERRORE|La seguente query LDAP non è riuscita: <Query LDAP qui>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Esegui|ERRORE REGISTRATO|La seguente query LDAP non è riuscita: <Query LDAP qui>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Poiché il ExArchiveJBS.exe non è stato completato, non sono stati generati ordini con attività di tipo "Archive JBC". Di conseguenza, le cassette postali non vengono elaborate. 

 

Questo problema può verificarsi se l'accesso ad Active Directory tramite LDAP è stato rafforzato e non supporta più una connessione non protetta. L'applicazione del binding di canale LDAP e della firma LDAP non supporterà più l'accesso non protetto a LDAP sulla porta 389.  Fare riferimento all'ADV190023 degli avvisi di sicurezza Microsoft. 
Microsoft dichiara che "il 10 marzo 2020 e gli aggiornamenti nel prossimo futuro non apporteranno modifiche alla firma LDAP o ai criteri di associazione del canale LDAP o al loro equivalente di registro sui controller di dominio nuovi o esistenti".
L'applicazione di queste impostazioni di sicurezza è facoltativa, tuttavia alcuni amministratori possono scegliere di applicare le connessioni sicure come best practice. Questa applicazione può causare l'esito negativo delle connessioni non protette. 

Le attività possono essere aggiornate o definite per l'utilizzo di Active Directory Service Interface (ADSI) o LDAP su SSL.

Per abilitare le interfacce del servizio Active Directory (ADSI):

• Modificare le attività esistenti o, durante la creazione delle attività, passare alla pagina di configurazione Select Datasources.
• Selezionare la casella di controllo Use Microsoft ADSI. Se la casella di controllo è disabilitata, cliccare sul pulsante Edit e selezionare Server supports Microsoft ADSI Search. 
• Premere OK per selezionare la casella Use Microsoft ADSI.
• La query può ora essere testata utilizzando la finestra di dialogo della query e il pulsante Execute.
• Verificare che la query venga eseguita e restituisca i risultati previsti.
• Continuare con la procedura guidata di configurazione per completare l'aggiornamento dell'attività.

Per abilitare LDAP su SSL:
Prima di configurare il server LDAP deve disporre di un certificato affidabile nell'archivio certificati di Windows che consentirà le connessioni LDAP su SSL a uno o più server Activity Directory. 

• Modificare le attività esistenti o, quando si creano nuove attività, passare alla pagina di configurazione Select Datasources.
• Cliccare sul pulsante Edit e selezionare Server requires secure connection 
• Accanto a Server Port, premere Use Default per aggiornare la porta a 636.  
•   Nota: Se LDAP su SSL utilizza una porta personalizzata, immettere il numero della porta personalizzata.
• Premere OK per aggiornare le modifiche alla configurazione del server.
• La query può ora essere testata utilizzando la finestra di dialogo della query e il pulsante Execute.
• Verificare che la query venga eseguita e restituisca i risultati previsti.
• Continuare con la procedura guidata di configurazione per completare l'aggiornamento dell'attività.