Behandeln von Problemen bei der LDAP-über-SSL-Verbindung

  • Artikel

In diesem Artikel werden Die Schritte zur Problembehandlung von LDAP-über-SSL-Verbindungsproblemen (LDAPs über SSL) erläutert.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 938703

Schritt 1: Überprüfen des Serverauthentifizierungszertifikats

Stellen Sie sicher, dass das verwendete Serverauthentifizierungszertifikat die folgenden Anforderungen erfüllt:

  • Der vollqualifizierte Active Directory-Domänenname des Domänencontrollers wird an einem der folgenden Speicherorte angezeigt:

    • Der allgemeine Name (Common Name, CN) im Feld Betreff .
    • Die SAN-Erweiterung (Subject Alternative Name) im DNS-Eintrag.

  • Die Erweiterte Schlüsselverwendungserweiterung enthält den Objektbezeichner der Serverauthentifizierung (1.3.6.1.5.5.7.3.1).

  • Der zugeordnete private Schlüssel ist auf dem Domänencontroller verfügbar. Verwenden Sie den Befehl, um zu überprüfen, ob der certutil -verifykeys Schlüssel verfügbar ist.

  • Die Zertifikatkette ist auf dem Clientcomputer gültig. Führen Sie die folgenden Schritte aus, um zu bestimmen, ob das Zertifikat gültig ist:

    1. Verwenden Sie auf dem Domänencontroller das Zertifikat-Snap-In, um das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer zu exportieren.

    2. Kopieren Sie die Serverssl.cer-Datei auf den Clientcomputer.

    3. Öffnen Sie auf dem Clientcomputer ein Eingabeaufforderungsfenster.

    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe an eine Datei mit dem Namen Output.txtzu senden:

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      Hinweis

      Um diesen Schritt ausführen zu können, muss das Befehlszeilentool Certutil installiert sein.

    5. Öffnen Sie die Output.txt-Datei, und suchen Sie dann nach Fehlern.

Schritt 2: Überprüfen des Clientauthentifizierungszertifikats

In einigen Fällen verwendet LDAPS ein Clientauthentifizierungszertifikat, wenn es auf dem Clientcomputer verfügbar ist. Wenn ein solches Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:

  • Die erweiterte Schlüsselverwendungserweiterung enthält den Objektbezeichner der Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

  • Der zugeordnete private Schlüssel ist auf dem Clientcomputer verfügbar. Verwenden Sie den Befehl, um zu überprüfen, ob der certutil -verifykeys Schlüssel verfügbar ist.

  • Die Zertifikatkette ist auf dem Domänencontroller gültig. Führen Sie die folgenden Schritte aus, um zu bestimmen, ob das Zertifikat gültig ist:

    1. Verwenden Sie auf dem Clientcomputer das Snap-In Zertifikate, um das SSL-Zertifikat in eine Datei mit dem Namen Clientssl.cer zu exportieren.

    2. Kopieren Sie die Clientssl.cer-Datei auf den Server.

    3. Öffnen Sie auf dem Server ein Eingabeaufforderungsfenster.

    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe an eine Datei mit dem Namen Outputclient.txtzu senden:

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Öffnen Sie die Outputclient.txt-Datei, und suchen Sie dann nach Fehlern.

Schritt 3: Überprüfen auf mehrere SSL-Zertifikate

Bestimmen Sie, ob mehrere SSL-Zertifikate die in Schritt 1 beschriebenen Anforderungen erfüllen. Schannel (der Microsoft SSL-Anbieter) wählt das erste gültige Zertifikat aus, das Schannel im Lokalen Computerspeicher findet. Wenn mehrere gültige Zertifikate im Lokalen Computerspeicher verfügbar sind, wählt Schannel möglicherweise nicht das richtige Zertifikat aus. Ein Konflikt mit einem Zertifizierungsstellenzertifikat kann auftreten, wenn die Zertifizierungsstelle auf einem Domänencontroller installiert ist, auf den Sie über LDAPS zugreifen möchten.

Schritt 4: Überprüfen der LDAPS-Verbindung auf dem Server

Verwenden Sie das Ldp.exe-Tool auf dem Domänencontroller, um über Port 636 eine Verbindung mit dem Server herzustellen. Wenn Sie keine Verbindung mit dem Server über Port 636 herstellen können, sehen Sie sich die Fehler an, die Ldp.exe generiert. Zeigen Sie außerdem die Ereignisanzeige Protokolle an, um Fehler zu finden. Weitere Informationen zur Verwendung von Ldp.exe zum Herstellen einer Verbindung mit Port 636 finden Sie unter Aktivieren von LDAP über SSL bei einer Drittanbieterzertifizierungsstelle.

Schritt 5: Aktivieren der Schannel-Protokollierung

Aktivieren Sie die Schannel-Ereignisprotokollierung auf dem Server und auf dem Clientcomputer. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung finden Sie unter Aktivieren der Schannel-Ereignisprotokollierung in Windows und Windows Server.

Hinweis

Wenn Sie SSL-Debugging auf einem Computer ausführen müssen, auf dem Microsoft Windows NT 4.0 ausgeführt wird, müssen Sie eine Schannel.dll-Datei für das installierte Windows NT 4.0 Service Pack verwenden und dann einen Debugger mit dem Computer verbinden. Die Schannel-Protokollierung sendet nur die Ausgabe an einen Debugger in Windows NT 4.0.