Управління електронною поштою SourceOne: Не вдається виконати запити до серверів Microsoft LDAP після того, як посилення безпеки запобігає пов'язанню LDAP з чистим текстом

Запити до серверів Microsoft LDAP можуть зазнавати невдачі після того, як посилення безпеки запобігає прив'язуванню LDAP чистого тексту. Це може вплинути на визначення нової активності або наявних дій, у яких використовуються незахищені методи автентифікації LDAP.  

Приклад 1: Не вдається визначити нову активність за допомогою LDAP:
Під час налаштування Активності; при тестуванні LDAP-запиту на сторінці конфігурації Select Datasources після натискання кнопки "Виконати" відображається наступне:

Підключення...
Підключений.
Виконати запит <LDAP тут>
не вдалося виконати запит LDAP

Примітка: Ця помилка є загальною і також може вказувати на те, що запит не вдалося, оскільки синтаксис запиту поганий, а не через проблему автентифікації.

Якщо запит не вдається, ExMMCAdmin.dll.log також записує наступну помилку, яка вказує на помилку автентифікації:
CoExLDAPClient::TestConnection|ПОМИЛКА|Потрібна надійна автентифікація Системний виклик не вдалося. (0x86040100)|CoExLDAPClient.cpp(256)


Приклад 2: Не вдається запустити
існуючу діяльністьДії можуть генерувати повторювані завдання, які визначено для виконання у вибраний час. Під час виконання пов'язане завдання JBS зазнає невдачі. Перед зміцненням безпеки завдання JBS і JBC вдаються.  

Приклад: завдання "Архівувати історичний" не виконується. Пов'язаний ExArchiveJBS.exe.log реєструє такі помилки після кожного збою:

CoExDirObjLookup::ExecuteLDAPSearch|ПОМИЛКА|Не вдалося виконати наступний запит LDAP: <Запит LDAP тут>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Run|ЖУРНАЛ ПОМИЛОК|Не вдалося виконати наступний запит LDAP: <Запит LDAP тут>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Оскільки ExArchiveJBS.exe не було завершено, завдання з завданням типу "Архів JBC" не генерувалися. В результаті поштові скриньки не обробляються. 

 

Ця проблема може виникнути, якщо доступ до Active Directory через LDAP був посилений і більше не підтримує незахищене з'єднання. Примусове прив'язування каналів LDAP і підписування LDAP більше не підтримуватиме незахищений доступ до LDAP через порт 389.  Довідник Microsoft Security Advisory ADV190023. 
Корпорація Майкрософт заявляє, що «Оновлення від 10 березня 2020 року та оновлення в осяжному майбутньому не вноситимуть змін до політик підписування LDAP або прив'язки каналів LDAP або їх еквівалента реєстру на нових або існуючих контролерах домену».
Застосування цих настройок безпеки не є обов'язковим, однак деякі адміністратори можуть вибрати примусове використання безпечних з'єднань як найкращу практику. Це може призвести до збою незахищених з'єднань. 

Дії можна оновлювати або визначати для використання інтерфейсів служб Active Directory (ADSI) або LDAP через SSL.

Щоб увімкнути інтерфейси служб Active Directory (ADSI), виконайте такі дії:

• Відредагуйте існуючі дії або під час створення Активностей перейдіть на сторінку конфігурації Вибір джерел даних.
• Установіть прапорець Використовувати Microsoft ADSI. Якщо цей пункт вимкнено, натисніть кнопку Редагувати та виберіть Сервер підтримує пошук Microsoft ADSI. 
• Натисніть OK, і тепер можна вибрати поле Використовувати Microsoft ADSI.
• Тепер запит можна перевірити за допомогою діалогового вікна запиту та кнопки Виконати.
• Перевірка запиту виконується та повертає очікувані результати.
• Перейдіть до майстра конфігурації, щоб завершити оновлення активності.

Щоб увімкнути LDAP через SSL:
Перед налаштуванням сервер LDAP повинен мати довірений сертифікат у сховищі сертифікатів Windows, який дозволить LDAP через SSL-з'єднання до одного або кількох серверів Activity Directory. 

• Відредагуйте наявні дії або під час створення нових Активностей перейдіть на сторінку конфігурації Вибір джерел даних.
• Натисніть кнопку Редагувати та виберіть Сервер вимагає безпечного з'єднання 
• Поруч із пунктом «Порт сервера» натисніть «Використовувати за замовчуванням», після чого порт оновиться до 636.  
•   Примітка: Якщо LDAP через SSL використовує нетиповий порт, введіть номер нетипового порту.
• Натисніть OK, щоб оновити зміни в конфігурації сервера.
• Тепер запит можна перевірити за допомогою діалогового вікна запиту та кнопки Виконати.
• Перевірка запиту виконується та повертає очікувані результати.
• Перейдіть до майстра конфігурації, щоб завершити оновлення активності.