Como solucionar problemas de LDAP sobre problemas de conexão SSL

Traduções deste artigo Traduções deste artigo
ID do artigo: 938703 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

Este artigo descreve como solucionar problemas de LDAP sobre problemas de conexão SSL (LDAP).

Mais Informações

Para solucionar problemas de conexão LDAPS, execute estas etapas.

Etapa 1: Verifique se o certificado de autenticação do servidor

Certifique-se que o certificado de autenticação do servidor que você use atende aos seguintes requisitos:
  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio aparece em um dos seguintes locais:
    • O nome comum (CN) no campo assunto
    • A extensão de nome de alternativo de assunto (SAN) na entrada de DNS
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação do servidor (1.3.6.1.5.5.7.3.1).
  • A chave particular associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o comando certutil - verifykeys .
  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, execute as seguintes etapas:
    1. No controlador de domínio, use o snap-in de certificados para exportar o certificado SSL para um arquivo chamado Serverssl.cer.
    2. Copie o arquivo Serverssl.cer para o computador cliente.
    3. No computador cliente, abra uma janela do prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Output.txt:
      certutil - v - urlfetch - verificar serverssl.cer > resultado.txt
      Observação Para seguir esta etapa, você deve ter a ferramenta de linha de comando Certutil instalada. Para obter mais informações sobre como obter o Certutil e sobre como usar Certutil, visite o seguinte site:
      Noções básicas sobre recuperação de chave de usuário
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. Abra o arquivo output.txt e, em seguida, procurar por erros.

Etapa 2: Verifique se o certificado de autenticação de cliente

Em alguns casos, o LDAP usa um certificado autenticação de cliente se ele estiver disponível no computador cliente. Se um certificado estiver disponível, certifique-se de que o certificado atende aos seguintes requisitos:
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação de cliente (1.3.6.1.5.5.7.3.2).
  • A chave particular associada está disponível no computador cliente. Para verificar se a chave está disponível, use o comando certutil - verifykeys .
  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, execute as seguintes etapas:
    1. No computador cliente, use o snap-in de certificados para exportar o certificado SSL para um arquivo chamado Clientssl.cer.
    2. Copie o arquivo Clientssl.cer para o servidor.
    3. No servidor, abra uma janela do prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Outputclient.txt:
      certutil - v - urlfetch - verificar serverssl.cer > outputclient.txt
    5. Abra o arquivo Outputclient.txt e, em seguida, procurar por erros.

Etapa 3: Procurar vários certificados SSL

Determine se vários certificados SSL atender os requisitos são descritos na etapa 1. Schannel (o provedor SSL da Microsoft) seleciona o primeiro certificado válido que Schannel localiza no armazenamento de computador local. Se houver vários certificados válidos no armazenamento de computador local, o Schannel não pode selecionar o certificado correto. Um conflito com um certificado de autoridade de certificação pode ocorrer se a CA é instalada em um controlador de domínio que você está tentando acessar por meio de LDAP.

Etapa 4: Verifique se a conexão LDAP no servidor

Use a ferramenta LDP.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não pode se conectar ao servidor usando a porta 636, ver os erros que gera LDP.exe. Também, exibir os logs de Visualizar eventos para localizar erros. Para obter mais informações sobre como usar o LDP.exe para se conectar à porta 636, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
321051Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

Etapa 5: Habilitar o log SChannel

Habilite o Schannel log de eventos no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos Schannel, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260729Como ativar o log no IIS de eventos Schannel
Observação Se você tiver executar SSL depuração em um computador que esteja executando o Microsoft Windows NT 4.0, você deve usar um arquivo Schannel.dll para o Windows NT 4.0 service pack instalado e conectar um depurador ao computador. Somente o log SChannel envia saída para um depurador no Windows NT 4.0.

Propriedades

ID do artigo: 938703 - Última revisão: segunda-feira, 13 de agosto de 2007 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 938703

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com