SourceOne Email Management:在安全强化阻止明文 LDAP 绑定后,对 Microsoft LDAP 服务器的查询失败
Summary: 在安全强化阻止明文 LDAP 绑定后,对 Microsoft LDAP 服务器的查询失败。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
在安全强化阻止明文 LDAP 绑定后,对 Microsoft LDAP 服务器的查询可能会失败。这可能会影响使用非安全 LDAP 身份验证方法的新活动或现有活动的定义。
示例 1:无法使用 LDAP 定义新活动:
在设置活动期间;在“选择数据源”配置页面上测试 LDAP 查询时,按下“执行”按钮后会显示以下内容:
连接。。。
连接。
在此处运行查询 <LDAP 查询>
失败
提醒:此错误是一般性的,也可能表示查询失败,因为查询语法错误,而不是由于身份验证问题。
如果查询失败,ExMMCAdmin.dll.log还会记录以下错误,指示身份验证错误:
CoExLDAPClient::TestConnection|错误 |需要强身份验证 系统调用失败。(0x86040100)|CoExLDAPClient.cpp(256)
示例2:现有活动无法运行
活动可能会生成定期作业,这些作业被定义为在选定时间运行。运行时,关联的 JBS 作业失败。在安全强化之前,JBS 和 JBC 作业均成功。
示例:“归档历史”作业无法运行。关联的ExArchiveJBS.exe.log在每次失败后记录以下错误:
CoExDirObjLookup::ExecuteLDAPSearch|错误 |以下 LDAP 查询失败:<LDAP 查询。>(0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Run|ERROR-LOGD|以下 LDAP 查询失败:<LDAP 查询。>(0x86041806)[ExArchiveJBS.exe,CoExDirObjLookup_LDAP.cpp(1324)。CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)
由于ExArchiveJBS.exe未完成,因此未生成任务类型为“Archive JBC”的作业。因此,不会处理邮箱。
Cause
如果通过 LDAP 访问 Active Directory 已得到加强并且不再支持不安全的连接,则可能会出现此问题。强制实施 LDAP 通道绑定和 LDAP 签名将不再支持通过端口 389 对 LDAP 进行不安全的访问。 请参阅安全公告ADV190023 Microsoft。
Microsoft 声明“2020 年 3 月 10 日和可预见的未来更新不会更改新的或现有域控制器上的 LDAP 签名或 LDAP 通道绑定策略或其注册表等效项。
强制实施这些安全设置是可选的,但某些管理员可能会选择强制实施安全连接作为最佳实践。此强制实施可能会导致不安全的连接失败。
Microsoft 声明“2020 年 3 月 10 日和可预见的未来更新不会更改新的或现有域控制器上的 LDAP 签名或 LDAP 通道绑定策略或其注册表等效项。
强制实施这些安全设置是可选的,但某些管理员可能会选择强制实施安全连接作为最佳实践。此强制实施可能会导致不安全的连接失败。
Resolution
可以更新或定义活动以使用 Active Directory 服务接口 (ADSI) 或 LDAP over SSL。
要启用 Active Directory 服务接口 (ADSI),请执行以下作:
要通过 SSL 启用 LDAP:
在配置 LDAP 服务器之前,必须在 Windows 证书存储中具有受信任的证书,这将允许通过 LDAP 连接到一个或多个 Activity Directory 服务器。
要启用 Active Directory 服务接口 (ADSI),请执行以下作:
- 编辑现有活动,或在创建活动时,转到“选择数据源”配置页面。
- 选中使用 Microsoft ADSI复选框。如果该复选框处于禁用状态,请单击编辑按钮,然后选择服务器支持 Microsoft ADSI 搜索。
- 按“确定”,现在可以选择“使用 Microsoft ADSI”框。
- 现在可以使用查询对话框和“执行”按钮测试查询。
- 验证查询是否运行并返回预期结果。
- 继续完成配置向导以完成活动的更新。
要通过 SSL 启用 LDAP:
在配置 LDAP 服务器之前,必须在 Windows 证书存储中具有受信任的证书,这将允许通过 LDAP 连接到一个或多个 Activity Directory 服务器。
- 编辑现有活动,或在创建新活动时,转到“选择数据源”配置页面。
- 单击编辑按钮,然后选择服务器需要安全连接
- 在 Server Port旁边,按 Use Default,这会将端口更新为 636。
- 提醒:如果 LDAP over SSL 使用自定义端口,请输入自定义端口号。
- 按“OK”更新对服务器配置的更改。
- 现在可以使用查询对话框和“执行”按钮测试查询。
- 验证查询是否运行并返回预期结果。
- 继续完成配置向导以完成活动的更新。
Affected Products
SourceOneProducts
SourceOne, SourceOne Email ManagementArticle Properties
Article Number: 000063397
Article Type: Solution
Last Modified: 02 Jun 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.