Anmelden

Select the product you need help with

Behandlung von LDAP �ber SSL-Verbindungsprobleme

Artikel-ID: 938703 - Produkte anzeigen, auf die sich dieser Artikel bezieht

Hinweis: Dies ist ein maschinell �bersetzter Artikel.

Maschinell-�bersetzte und englische Version des Artikels nebenander anzeigen

Alles erweitern | Alles schlie�en

EINF�HRUNG

Dieser Artikel beschreibt die LDAP �ber SSL (LDAPS)-Verbindungsprobleme zu beheben.

Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Gehen Sie folgenderma�en vor um LDAPS-Verbindungsprobleme zu beheben.

Schritt 1: �berpr�fen des Zertifikats Serverauthentifizierung

Stellen Sie sicher, dass das Zertifikat Serverauthentifizierung, das Sie verwenden die folgenden Anforderungen erf�llt:

Der Active Directory fully qualified Domain Name des Dom�nencontrollers wird in einem der folgenden Speicherorte:
- Allgemeiner Name (CN = Common Name) im Antragstellerfeld
- Die Erweiterung Subject Alternative Name (SAN) in der DNS-Eintrag
Die Erweiterung "Erweiterte Schl�sselverwendung enth�lt den Objektbezeichner Serverauthentifizierung (1.3.6.1.5.5.7.3.1).
Der zugeordnete private Schl�ssel ist auf dem Dom�nencontroller verf�gbar. Verwenden Sie den Certutil - Verifykeys Befehl, um sicherzustellen, dass der Schl�ssel verf�gbar ist.
Die Zertifikatskette ist auf dem Clientcomputer g�ltig. Um zu bestimmen, ob das Zertifikat g�ltig ist, gehen Sie folgenderma�en vor:
1. Verwenden Sie auf dem Dom�nencontroller das Zertifikat-Snap-in So exportieren Sie das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer.
2. Kopieren Sie die Serverssl.cer-Datei auf dem Clientcomputer.
3. �ffnen Sie ein Eingabeaufforderungsfenster, auf dem Clientcomputer.
4. Geben Sie an der Eingabeaufforderung die Ausgabe des Befehls an eine Datei senden, die mit dem Namen "Output.txt" Folgendes ein:
  Certutil - V - Urlfetch - serverssl.cer �berpr�fen > Ausgabe.txt
  Hinweis: Um diese Schritt zu folgen, m�ssen Sie das Certutil-Befehlszeilenprogramm installiert verf�gen. Weitere Informationen dazu, wie Sie Certutil erhalten und Informationen zum Verwenden von Certutil der folgenden Microsoft-Website:
  Grundlegendes zur Schl�sselwiederherstellung f�r Benutzer
  http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true
  (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)
5. �ffnen Sie die Datei "Output.txt", und suchen Sie nach Fehlern.

Schritt 2: �berpr�fen des Zertifikats Clientauthentifizierung

In einigen F�llen verwendet LDAPS ein Zertifikats Clientauthentifizierung, wenn Sie auf dem Clientcomputer verf�gbar ist. Wenn solche ein Zertifikat verf�gbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erf�llt:

Die Erweiterung "Erweiterte Schl�sselverwendung enth�lt den Objektbezeichner Clientauthentifizierung (1.3.6.1.5.5.7.3.2).
Der zugeordnete private Schl�ssel ist auf dem Clientcomputer verf�gbar. Verwenden Sie den Certutil - Verifykeys Befehl, um sicherzustellen, dass der Schl�ssel verf�gbar ist.
Die Zertifikatskette ist auf dem Dom�nencontroller g�ltig. Um zu bestimmen, ob das Zertifikat g�ltig ist, gehen Sie folgenderma�en vor:
1. Verwenden Sie auf dem Clientcomputer das Zertifikat-Snap-in So exportieren Sie das SSL-Zertifikat in eine Datei mit dem Namen Clientssl.cer.
2. Kopieren Sie die Clientssl.cer-Datei an den Server.
3. �ffnen Sie ein Eingabeaufforderungsfenster, auf dem Server.
4. Geben Sie an der Eingabeaufforderung die Ausgabe des Befehls an eine Datei senden, die mit dem Namen Outputclient.txt Folgendes ein:
  Certutil - V - Urlfetch - serverssl.cer �berpr�fen > outputclient.txt
5. �ffnen Sie die Datei Outputclient.txt, und suchen Sie nach Fehlern.

Schritt 3: Suchen nach mehrere SSL-Zertifikate

Bestimmen Sie, ob mehrere SSL-Zertifikate die Anforderungen erf�llen, die in Schritt 1 beschrieben werden. Schannel (Microsoft SSL-Anbieter) w�hlt das erste g�ltige Zertifikat, das SChannel in den Speicher Lokaler Computer findet. Wenn mehrere g�ltige Zertifikate in den Speicher Lokaler Computer verf�gbar sind, kann Schannel nicht das richtige Zertifikat ausw�hlen. Ein Konflikt mit einem Zertifikat der Zertifizierungsstelle (CA) kann auftreten, wenn die ZERTIFIZIERUNGSSTELLE auf einem Dom�nencontroller installiert ist, die Sie �ber LDAPS zugreifen m�chten.

Schritt 4: �berpr�fen Sie die LDAPS-Verbindung auf dem server

Verwenden Sie das Tool Ldp.exe auf dem Dom�nencontroller, um mithilfe von Anschluss 636 mit dem Server verbinden. Wenn Sie �ber den Port 636 keine Verbindung zum Server herstellen k�nnen, finden Sie Fehler, die Ldp.exe generiert. Zeigen Sie Protokoll der Ereignisanzeige nach Fehlern auch an. Weitere Informationen, wie Sie Ldp.exe, um eine Verbindung zu Port 636 herzustellen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

321051

(http://support.microsoft.com/kb/321051/ )

Aktivieren von LDAP �ber SSL mit einer Drittanbieter-Zertifizierungsstelle

Schritt 5: Schannel-Protokollierung aktivieren

Aktivieren Sie Schannel-Ereignisprotokollierung auf dem Server und auf dem Clientcomputer. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

260729

(http://support.microsoft.com/kb/260729/ )

Zum Aktivieren der Schannel-Ereignisprotokollierung in IIS

Hinweis: Wenn Sie SSL auf einem Computer mit Microsoft Windows NT 4.0 Debuggen durchzuf�hren, m�ssen Sie eine Datei Schannel.dll f�r das installierte Windows NT 4.0 Service Pack verwenden und verbinden Sie einen Debugger mit dem Computer. SChannel-Protokollierung sendet nur die Ausgabe an einen Debugger in Windows NT 4.0.

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 938703 - Ge�ndert am: Montag, 13. August 2007 - Version: 2.2

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows�2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server

kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtde

Maschinell �bersetzter Artikel

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen �bersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden st�ndig erg�nzt beziehungsweise �berarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu k�nnen, werden viele Artikel nicht von Menschen, sondern von �bersetzungsprogrammen �bersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell �bersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdw�rtern sowie Fachbegriffen. Microsoft �bernimmt keine Gew�hr f�r die sprachliche Qualit�t oder die technische Richtigkeit der �bersetzungen und ist nicht f�r Probleme haftbar, die direkt oder indirekt durch �bersetzungsfehler oder die Verwendung der �bersetzten Inhalte durch Kunden entstehen k�nnten.

Den englischen Originalartikel k�nnen Sie �ber folgenden Link abrufen: 938703

(http://support.microsoft.com/kb/938703/en-us/ )

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verf�gung. Microsoft �bernimmt keinerlei Gew�hrleistung daf�r, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erw�nschten Ergebnisse erzielen. Die Entscheidung dar�ber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung f�r Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Zum Anfang | Ihr Feedback an uns