Cómo solucionar problemas de LDAP a través de los problemas de conexión de SSL

Seleccione idioma Seleccione idioma
Id. de artículo: 938703 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Se explica cómo solucionar problemas de LDAP a través de problemas de conexión de SSL (LDAPS).

Más información

Para solucionar problemas de conexión LDAPS, siga estos pasos.

Paso 1: Comprobar el certificado de autenticación de servidor

Asegúrese de que el certificado de autenticación de servidor que utilice cumple los requisitos siguientes:
  • El nombre de dominio completo de Active Directory del controlador de dominio aparece en una de las siguientes ubicaciones:
    • El nombre común (CN) en el campo Asunto
    • La extensión de nombre alternativo de asunto (SAN) en la entrada de DNS
  • La extensión uso mejorado de claves incluye el identificador de objeto de autenticación de servidor (1.3.6.1.5.5.7.3.1).
  • La clave privada asociada está disponible en el controlador de dominio. Para comprobar que la clave está disponible, utilice el comando certutil - verifykeys .
  • La cadena de certificados es válida en el equipo cliente. Para determinar si el certificado es válido, siga estos pasos:
    1. En el controlador de dominio, utilice el complemento certificados para exportar el certificado SSL en un archivo que se denomina Serverssl.cer.
    2. Copie el archivo Serverssl.cer en el equipo cliente.
    3. En el equipo cliente, abra una ventana del símbolo.
    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo que se denomina output.txt:
      certutil - v - urlfetch - comprobar serverssl.cer > salida.txt
      Nota Para seguir este paso, debe tener instalada la herramienta línea de comandos de Certutil. Para obtener más información acerca de cómo obtener Certutil y acerca de cómo utilizar Certutil, visite el siguiente sitio Web de Microsoft:
      Descripción de la recuperación de claves de usuario
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. Abra el archivo Output.txt y, a continuación, buscar errores.

Paso 2: Comprobar el certificado de autenticación del cliente

En algunos casos, LDAPS utiliza un certificado de autenticación de cliente si está disponible en el equipo cliente. Si dicho certificado está disponible, asegúrese de que el certificado cumple los requisitos siguientes:
  • La extensión uso mejorado de claves incluye el identificador de objeto de autenticación de cliente (1.3.6.1.5.5.7.3.2).
  • La clave privada asociada está disponible en el equipo cliente. Para comprobar que la clave está disponible, utilice el comando certutil - verifykeys .
  • La cadena de certificados es válida en el controlador de dominio. Para determinar si el certificado es válido, siga estos pasos:
    1. En el equipo cliente, utilice el complemento certificados para exportar el certificado SSL en un archivo que se denomina Clientssl.cer.
    2. Copie el archivo Clientssl.cer al servidor.
    3. En el servidor, abra una ventana del símbolo.
    4. En el símbolo del sistema, escriba el siguiente comando para enviar la salida del comando a un archivo que se denomina Outputclient.txt:
      certutil - v - urlfetch - comprobar serverssl.cer > outputclient.txt
    5. Abra el archivo Outputclient.txt y, a continuación, buscar errores.

Paso 3: Comprobar si hay varios certificados SSL

Determinar si varios certificados SSL cumplan los requisitos que se describen en el paso 1. Schannel (el proveedor de SSL de Microsoft), selecciona el primer certificado válido que Schannel se encuentra en el almacén equipo local. Si hay varios certificados válidos disponibles en el almacén equipo local, Schannel no puede seleccionar el certificado correcto. Un conflicto con un certificado de entidad emisora (CA) de certificados puede producirse si está instalada la CA en un controlador de dominio está intentando obtener acceso a través de LDAPS.

Paso 4: Compruebe la conexión LDAPS en el servidor

Utilice la herramienta LDP.exe en el controlador de dominio para intentar conectarse al servidor mediante el puerto 636. Si no puede conectarse al servidor mediante el puerto 636, consulte los errores que genera Ldp.exe. Además, ver los registros de Visor de sucesos para buscar errores. Para obtener más información acerca de cómo utilizar LDP.exe para conectarse al puerto 636, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
321051Cómo habilitar LDAP sobre SSL con una entidad emisora de terceros

Paso 5: Habilitar registro de Schannel

Habilitar el registro de Schannel sucesos en el servidor y en el equipo cliente. Para obtener más información acerca de cómo habilitar registro de sucesos de Schannel, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260729Cómo habilitar el registro en IIS de sucesos Schannel
Nota Si tiene que realizar la depuración de SSL en un equipo que ejecuta Microsoft Windows NT 4.0, debe usar un archivo Schannel.dll para el service pack de Windows NT 4.0 instalado y, a continuación, conectar a un depurador al equipo. Registro de Schannel sólo envía la salida a un depurador en Windows NT 4.0.

Propiedades

Id. de artículo: 938703 - Última revisión: lunes, 13 de agosto de 2007 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 938703

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com