Řešení potíží s LDAP přes SSL s připojením

Překlady článku Překlady článku
ID článku: 938703 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje řešení potíží s LDAP přes SSL (LDAPS) s připojením.

Další informace

Chcete-li vyřešit potíže s připojením LDAPS, postupujte takto.

Krok 1: Ověřit certifikát ověření serveru

Ujistěte se, že certifikát ověření serveru, který používáte, splňuje následující požadavky:
  • Active Directory úplný název řadiče domény, zobrazí se v jednom z následujících umístění:
    • Běžný název (CN) v poli Předmět
    • Rozšíření předmět alternativní název (SAN) v položce DNS
  • Rozšíření použití rozšířeného klíče obsahuje identifikátor objektu ověření serveru (1.3.6.1.5.5.7.3.1).
  • Přidružený soukromý klíč je k dispozici v řadiči domény. Chcete-li ověřit, zda je klíč k dispozici, použijte certutil - verifykeys příkaz.
  • Řetěz certifikátů je platný v klientském počítači. Chcete-li zjistit, zda je certifikát platný, postupujte takto:
    1. V řadiči domény pomocí modulu snap-in Certifikáty exportovat certifikát SSL do souboru s názvem Serverssl.cer.
    2. Zkopírujte soubor Serverssl.cer do klientského počítače.
    3. V klientském počítači otevřete okno příkazového řádku.
    4. Na příkazovém řádku zadejte následující příkaz odeslat výstup příkazu do souboru s názvem výstup.txt:
      certutil - v - urlfetch-serverssl.cer ověřit > výstup.txt
      Poznámka: Chcete-li tento krok musíte mít nainstalovaný nástroj příkazového řádku Certutil. Další informace o možnostech získání Certutil a způsob použití příkazu Certutil na tomto webu společnosti Microsoft:
      Principy obnovení klíče uživatele
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. Otevření souboru výstup.txt a vyhledejte chyby.

Krok 2: Ověřte certifikát ověření klienta

V některých případech LDAPS používá certifikát ověření klienta, pokud je k dispozici v klientském počítači. Osvědčení je k dispozici, ujistěte se, že certifikát splňuje následující požadavky:
  • Rozšíření použití rozšířeného klíče obsahuje identifikátor objektu ověření klienta (1.3.6.1.5.5.7.3.2).
  • Přidružený soukromý klíč je k dispozici v klientském počítači. Chcete-li ověřit, zda je klíč k dispozici, použijte certutil - verifykeys příkaz.
  • Řetěz certifikátů je platný v řadiči domény. Chcete-li zjistit, zda je certifikát platný, postupujte takto:
    1. V klientském počítači pomocí modulu snap-in Certifikáty exportovat certifikát SSL do souboru s názvem Clientssl.cer.
    2. Zkopírujte soubor Clientssl.cer na server.
    3. Na serveru otevřete okno příkazového řádku.
    4. Na příkazovém řádku zadejte následující příkaz odeslat výstup příkazu do souboru s názvem Outputclient.txt:
      certutil - v - urlfetch-ověřit serverssl.cer > outputclient.txt
    5. Otevřete soubor Outputclient.txt a vyhledejte chyby.

Krok 3: Zkontrolujte více certifikátů SSL

Zjistěte, zda více certifikátů SSL splňují požadavky popsané v kroku 1. Schannel (Zprostředkovatel Microsoft SSL) vybere první platný certifikát, který Schannel vyhledá v úložišti místního počítače. Je-li více platné certifikáty jsou k dispozici v úložišti místního počítače, Schannel nelze vybrat správný certifikát. Konflikt s certifikátu certifikačního úřadu (CÚ) může dojít, pokud je Certifikační úřad nainstalován v řadiči domény, který se pokoušíte získat přístup prostřednictvím LDAPS.

Krok 4: Ověřte připojení LDAPS na serveru

Pomocí nástroje Ldp.exe v řadiči domény, zkuste se připojit k serveru pomocí port 636. Pokud se nemůžete připojit k serveru pomocí port 636, viz chyby, které generuje nástroj Ldp.exe. Také zobrazte protokoly Prohlížeče událostí vyhledejte chyby. Další informace o použití nástroje Ldp.exe připojení k portu 636 klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
321051Povolení protokolu LDAP přes SSL u jiného certifikačního úřadu

Krok 5: Povolit protokolování kanálu Schannel

Povolte protokolování událostí Schannel na serveru a v klientském počítači. Další informace o tom, jak povolit protokolování událostí Schannel klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
260729Jak povolit protokolování ve službě IIS Schannel událostí
Poznámka: Máte-li provést ladění SSL v počítači se systémem Microsoft Windows NT 4.0, musíte pomocí souboru Schannel.dll nainstalovanou aktualizaci service Pack pro systém Windows NT 4.0 a k počítači připojit ladicí program. Protokolování Schannel pouze odešle výstup do ladicího programu v systému Windows NT 4.0.

Vlastnosti

ID článku: 938703 - Poslední aktualizace: 22. května 2011 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
Klíčová slova: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:938703

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com