LDAP over SSL に関する接続の問題のトラブルシューティングを行う方法

文書翻訳 文書翻訳
文書番号: 938703 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、LDAP over SSL (LDAPS) に関する接続の問題のトラブルシューティングを行う方法について説明します。

詳細

LDAPS に関する接続の問題のトラブルシューティングを行うには、以下の手順を実行します。

手順 1 : サーバー認証証明書を確認する

使用しているサーバー認証証明書が以下の要件を満たしていることを確認します。
  • ドメイン コントローラの Active Directory 完全修飾ドメイン名が以下の場所のいずれかに表示される。
    • [サブジェクト] フィールドの共通名 (CN)
    • [サブジェクトの別名] (SAN) 拡張の DNS エントリ
  • [拡張キー使用法] 拡張に、サーバー認証のオブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれている。
  • 関連付けられている秘密キーがドメイン コントローラで使用できる。キーが使用できることを確認するには、certutil -verifykeys コマンドを使用します。
  • 証明書チェーンがクライアント コンピュータで有効である。証明書が有効かどうかを確認するには、以下の手順を実行します。
    1. ドメイン コントローラで、証明書スナップインを使用して SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。
    2. Serverssl.cer ファイルをクライアント コンピュータにコピーします。
    3. クライアント コンピュータでコマンド プロンプト ウィンドウを開きます。
    4. コマンド プロンプトで以下のコマンドを入力して、コマンドの出力を Output.txt という名前のファイルに送信します。
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      : この手順を実行するには、Certutil コマンド ライン ツールがインストールされている必要があります。Certutil の入手方法および使用方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
      Understanding User Key Recovery
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

      Windows Server 2003 以外のコンピュータで最新版の certutil を使用する方法
      http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/security/webenroll.mspx#EPRAG
    5. Output.txt ファイルを開き、エラーを探します。

手順 2 : クライアント認証証明書を確認する

クライアント認証証明書がクライアント コンピュータで使用できる場合に、この証明書が LDAPS で使用されることがあります。証明書が使用できる場合は、証明書が以下の要件を満たしていることを確認します。
  • [拡張キー使用法] 拡張に、クライアント認証のオブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれている。
  • 関連付けられている秘密キーがクライアント コンピュータで使用できる。キーが使用できることを確認するには、certutil -verifykeys コマンドを使用します。
  • 証明書チェーンがドメイン コントローラで有効である。証明書が有効かどうかを確認するには、以下の手順を実行します。
    1. クライアント コンピュータで、証明書スナップインを使用して SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。
    2. Clientssl.cer ファイルをサーバーにコピーします。
    3. サーバーでコマンド プロンプト ウィンドウを開きます。
    4. コマンド プロンプトで以下のコマンドを入力して、コマンドの出力を Outputclient.txt という名前のファイルに送信します。
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Outputclient.txt ファイルを開き、エラーを探します。

手順 3 : 複数の SSL 証明書を確認する

複数の SSL 証明書が手順 1. に記載されている要件を満たしているかどうかを確認します。Schannel (マイクロソフト SSL プロバイダ) では、ローカル コンピュータ ストアで見つかった最初の有効な証明書が選択されます。複数の有効な証明書がローカル コンピュータ ストアにある場合、Schannel で正しい証明書が選択されないことがあります。LDAPS を使用してアクセスするドメイン コントローラに証明機関 (CA) がインストールされている場合、CA 証明書との競合が発生することがあります。

手順 4 : サーバー上で LDAPS 接続を確認する

ドメイン コントローラで Ldp.exe ツールを使用し、ポート 636 を使用してサーバーに接続します。ポート 636 を使用してサーバーに接続できない場合は、Ldp.exe で生成されたエラーを確認します。また、イベント ビューアのログを参照してエラーを探します。 Ldp.exe を使用してポート 636 に接続する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
321051 サードパーティの証明機関を使用して LDAP over SSL を有効にする方法

手順 5 : Schannel ログを有効にする

サーバーとクライアント コンピュータで Schannel イベント ログを有効にします。 Schannel イベント ログを有効にする方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260729 Schannel イベント ログを有効にする方法
: Microsoft Windows NT 4.0 を実行しているコンピュータで SSL デバッグを実行する必要がある場合は、インストールされている Windows NT 4.0 Service Pack の Schannel.dll ファイルを使用して、デバッガをコンピュータに接続する必要があります。Schannel ログ機能では、Windows NT 4.0 のデバッガにのみ出力が送信されます。

プロパティ

文書番号: 938703 - 最終更新日: 2008年1月31日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
キーワード:?
kbhowto kbinfo kbexpertiseadvanced KB938703
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com