Τρόπος αντιμετώπισης προβλημάτων LDAP μέσω SSL προβλήματα σύνδεσης

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 938703 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τον τρόπο αντιμετώπισης προβλημάτων LDAP μέσω SSL (LDAPS) προβλήματα σύνδεσης.

Περισσότερες πληροφορίες

Για την αντιμετώπιση προβλημάτων σύνδεσης LDAPS, ακολουθήστε τα εξής βήματα.

Βήμα 1: Επαληθεύστε το πιστοποιητικό ελέγχου ταυτότητας διακομιστή

Βεβαιωθείτε ότι το πιστοποιητικό ελέγχου ταυτότητας διακομιστή που χρησιμοποιείτε πληροί τις ακόλουθες απαιτήσεις:
  • Εμφανίζεται το όνομα του έγκυρου τομέα υπηρεσίας καταλόγου Active Directory του ελεγκτή τομέα σε μία από τις ακόλουθες θέσεις:
    • Το "Κοινό όνομα" (Common Name - CN) στο πεδίο "Θέμα" (Subject)
    • Η επέκταση ονόματος εναλλακτική θέμα (SAN) στην καταχώρηση DNS
  • Η επέκταση βελτιωμένης χρήσης κλειδιού περιλαμβάνει το αναγνωριστικό αντικειμένου ελέγχου ταυτότητας διακομιστή (1.3.6.1.5.5.7.3.1).
  • Το συσχετισμένο ιδιωτικό κλειδί είναι διαθέσιμη στον ελεγκτή τομέα. Για να βεβαιωθείτε ότι το κλειδί είναι διαθέσιμο, χρησιμοποιήστε τοcertutil - verifykeysΕντολή.
  • Η αλληλουχία πιστοποιητικών είναι έγκυρη στον υπολογιστή-πελάτη. Για να διαπιστώσετε εάν το πιστοποιητικό είναι έγκυρο, ακολουθήστε τα εξής βήματα:
    1. Στον ελεγκτή τομέα, χρησιμοποιήστε το συμπληρωματικό πρόγραμμα πιστοποιητικών για να εξαγάγετε το πιστοποιητικό SSL σε ένα αρχείο που ονομάζεται Serverssl.cer.
    2. Αντιγράψτε το αρχείο Serverssl.cer στον υπολογιστή-πελάτη.
    3. Στον υπολογιστή-πελάτη, ανοίξτε ένα παράθυρο γραμμής εντολών.
    4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή για να αποστείλετε την έξοδο της εντολής σε ένα αρχείο που ονομάζεται Output.txt:
      certutil - v - urlfetch - επαλήθευση serverssl.cer > output.txt
      ΣΗΜΕΙΩΣΗΓια να ακολουθήσετε αυτό το βήμα, πρέπει να έχετε το εργαλείο γραμμής εντολών Certutil εγκατεστημένο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του Certutil και σχετικά με τον τρόπο χρήσης του Certutil, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
      Κατανόηση των κλειδιών αποκατάστασης του χρήστη
      http://technet2.Microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=TRUE

    5. Ανοίξτε το αρχείο Output.txt και, στη συνέχεια, κάντε αναζήτηση για σφάλματα.

Βήμα 2: Επαλήθευση του πιστοποιητικού ελέγχου ταυτότητας πελάτη

Σε ορισμένες περιπτώσεις, LDAPS χρησιμοποιεί ένα πιστοποιητικό ελέγχου ταυτότητας υπολογιστή-πελάτη, εάν είναι διαθέσιμη στον υπολογιστή-πελάτη. Εάν υπάρχει τέτοιο πιστοποιητικό, βεβαιωθείτε ότι το πιστοποιητικό πληροί τις ακόλουθες απαιτήσεις:
  • Η επέκταση βελτιωμένης χρήσης κλειδιού περιλαμβάνει το αναγνωριστικό αντικειμένου ελέγχου ταυτότητας πελάτη (1.3.6.1.5.5.7.3.2).
  • Το συσχετισμένο ιδιωτικό κλειδί είναι διαθέσιμη στον υπολογιστή-πελάτη. Για να βεβαιωθείτε ότι το κλειδί είναι διαθέσιμο, χρησιμοποιήστε τοcertutil - verifykeysΕντολή.
  • Η αλληλουχία πιστοποιητικών είναι έγκυρη στον ελεγκτή τομέα. Για να διαπιστώσετε εάν το πιστοποιητικό είναι έγκυρο, ακολουθήστε τα εξής βήματα:
    1. Στον υπολογιστή-πελάτη, χρησιμοποιήστε το συμπληρωματικό πρόγραμμα πιστοποιητικών για να εξαγάγετε το πιστοποιητικό SSL σε ένα αρχείο που ονομάζεται Clientssl.cer.
    2. Αντιγράψτε το αρχείο Clientssl.cer στο διακομιστή.
    3. Στο διακομιστή, ανοίξτε ένα παράθυρο γραμμής εντολών.
    4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή για να αποστείλετε την έξοδο της εντολής σε ένα αρχείο που ονομάζεται Outputclient.txt:
      certutil - v - urlfetch - επαλήθευση serverssl.cer > outputclient.txt
    5. Ανοίξτε το αρχείο Outputclient.txt και, στη συνέχεια, κάντε αναζήτηση για σφάλματα.

Step 3: Check for multiple SSL certificates

Determine whether multiple SSL certificates meet the requirements that are described in step 1. Schannel (the Microsoft SSL provider) selects the first valid certificate that Schannel finds in the Local Computer store. If multiple valid certificates are available in the Local Computer store, Schannel may not select the correct certificate. A conflict with a certification authority (CA) certificate may occur if the CA is installed on a domain controller that you are trying to access through LDAPS.

Step 4: Verify the LDAPS connection on the server

Use the Ldp.exe tool on the domain controller to try to connect to the server by using port 636. If you cannot connect to the server by using port 636, see the errors that Ldp.exe generates. Also, view the Event Viewer logs to find errors.For more information about how to use Ldp.exe to connect to port 636, click the following article number to view the article in the Microsoft Knowledge Base:
321051How to enable LDAP over SSL with a third-party certification authority

Step 5: Enable Schannel logging

Enable Schannel event logging on the server and on the client computer.For more information about how to enable Schannel event logging, click the following article number to view the article in the Microsoft Knowledge Base:
260729How to enable Schannel event logging in IIS
ΣΗΜΕΙΩΣΗIf you have to perform SSL debugging on a computer that is running Microsoft Windows NT 4.0, you must use a Schannel.dll file for the installed Windows NT 4.0 service pack and then connect a debugger to the computer. Schannel logging only sends output to a debugger in Windows NT 4.0.

Ιδιότητες

Αναγν. άρθρου: 938703 - Τελευταία αναθεώρηση: Παρασκευή, 24 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Λέξεις-κλειδιά: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:938703

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com