SourceOne Email Management: Zapytania do serwerów Microsoft LDAP kończą się niepowodzeniem, ponieważ wzmocnienie zabezpieczeń uniemożliwia powiązania LDAP w postaci zwykłego tekstu

Zapytania do serwerów Microsoft LDAP mogą zakończyć się niepowodzeniem, gdy wzmocnienie zabezpieczeń uniemożliwia powiązania LDAP w postaci zwykłego tekstu. Może to mieć wpływ na definicję nowego działania lub istniejących działań, które korzystają z niezabezpieczonych metod uwierzytelniania LDAP.  

Przykład 1: Nie można zdefiniować nowego działania przy użyciu protokołu LDAP:
W trakcie konfigurowania Działania; podczas testowania zapytania LDAP na stronie konfiguracji Select Datasources po naciśnięciu przycisku "Execute" wyświetlane są następujące elementy:

Trwa łączenie...
Spójny.
Uruchamianie zapytania <LDAP w tym miejscu>
Zapytanie LDAP nie powiodło się

Uwaga: Ten błąd jest ogólny i może również wskazywać, że zapytanie nie powiodło się, ponieważ składnia zapytania jest nieprawidłowa, a nie z powodu problemu z uwierzytelnianiem.

Jeśli zapytanie zakończy się niepowodzeniem, ExMMCAdmin.dll.log rejestruje również następujący błąd, który wskazuje na błąd uwierzytelniania:
CoExLDAPClient::TestConnection|BŁĄD|Wymagane silne uwierzytelnianie Wywołanie systemowe nie powiodło się. (0x86040100)|CoExLDAPClient.cpp(256)


Przykład 2: Nie można uruchomić
istniejących działańDziałania mogą generować powtarzające się zadania, które są zdefiniowane jako uruchomione w wybranym czasie. Po uruchomieniu skojarzone zadanie JBS kończy się niepowodzeniem. Przed wzmocnieniem zabezpieczeń zadania JBS i JBC zakończą się pomyślnie.  

Przykład: nie można uruchomić zadania "Archive Historical". Skojarzony ExArchiveJBS.exe.log rejestruje następujące błędy po każdym błędzie:

CoExDirObjLookup::ExecuteLDAPSearch|BŁĄD|Następujące zapytanie LDAP nie powiodło się: <Zapytanie LDAP tutaj>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Uruchom|REJESTR BŁĘDÓW|Następujące zapytanie LDAP nie powiodło się: <Zapytanie LDAP tutaj>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Ponieważ ExArchiveJBS.exe nie został ukończony, nie wygenerowano żadnych zadań z zadaniem typu "Archiwum JBC". W związku z tym skrzynki pocztowe nie są przetwarzane. 

 

Ten problem może wystąpić, jeśli dostęp do usługi Active Directory za pośrednictwem protokołu LDAP został wzmocniony i nie obsługuje już niezabezpieczonego połączenia. Wymuszanie powiązania kanału LDAP i podpisywania LDAP nie będzie już obsługiwać niezabezpieczonego dostępu do LDAP przez port 389.  Zapoznaj się z poradnikiem zabezpieczeń firmy Microsoft ADV190023. 
Microsoft stwierdza: "10 marca 2020 r. i aktualizacje w dającej się przewidzieć przyszłości nie wprowadzą zmian w zasadach podpisywania LDAP lub powiązań kanałów LDAP lub ich odpowiedniku rejestru na nowych lub istniejących kontrolerach domeny".
Wymuszanie tych ustawień zabezpieczeń jest opcjonalne, jednak niektórzy administratorzy mogą zdecydować się na wymuszanie bezpiecznych połączeń jako najlepsze rozwiązanie. To wymuszanie może spowodować niepowodzenie niezabezpieczonych połączeń. 

Działania można aktualizować lub definiować w taki sposób, aby korzystały z interfejsów usług Active Directory (ADSI) lub protokołu LDAP za pośrednictwem protokołu SSL.

Aby włączyć interfejsy usług Active Directory (ADSI):

• Edytuj istniejące działania lub podczas tworzenia działań przejdź do strony konfiguracji Wybieranie źródeł danych.
• Zaznacz pole wyboru Użyj Microsoft ADSI. Jeśli pole wyboru jest wyłączone, kliknij przycisk Edytuj i wybierz opcję Serwer obsługuje wyszukiwanie Microsoft ADSI. 
• Naciśnij przycisk OK, aby wybrać pole Użyj Microsoft ADSI.
• Zapytanie można teraz przetestować za pomocą okna dialogowego zapytania i przycisku Wykonaj.
• Sprawdź, czy zapytanie jest uruchamiane i zwraca oczekiwane wyniki.
• Kontynuuj pracę kreatora konfiguracji, aby zakończyć aktualizację działania.

Aby włączyć protokół LDAP przez SSL:
przed skonfigurowaniem serwer LDAP musi mieć zaufany certyfikat w magazynie certyfikatów systemu Windows, który będzie zezwalał na połączenia LDAP przez SSL z co najmniej jednym serwerem usługi Activity Directory. 

• Edytuj istniejące działania lub podczas tworzenia nowych działań przejdź do strony konfiguracji Wybieranie źródeł danych.
• Kliknij przycisk Edytuj i wybierz opcję Serwer wymaga bezpiecznego połączenia 
• Obok pozycji Port serwera naciśnij przycisk Użyj domyślnego, co spowoduje zaktualizowanie portu do 636.  
•   Uwaga: Jeśli protokół LDAP przez SSL używa portu niestandardowego, wprowadź niestandardowy numer portu.
• Naciśnij przycisk OK, aby zaktualizować zmiany w konfiguracji serwera.
• Zapytanie można teraz przetestować za pomocą okna dialogowego zapytania i przycisku Wykonaj.
• Sprawdź, czy zapytanie jest uruchamiane i zwraca oczekiwane wyniki.
• Kontynuuj pracę kreatora konfiguracji, aby zakończyć aktualizację działania.