Solucionar problemas de LDAP sobre problemas de conexão SSL
Este artigo discute etapas sobre como solucionar problemas de conexão LDAP sobre LDAPS (SSL).
Aplica-se a: Windows Server 2003
Número de KB original: 938703
Etapa 1: verificar o certificado de Autenticação do Servidor
Verifique se o certificado de Autenticação do Servidor que você usa atende aos seguintes requisitos:
O nome de domínio totalmente qualificado do Active Directory do controlador de domínio é exibido em um dos seguintes locais:
- O CN (nome comum) no campo Assunto .
- A extensão SAN (Nome Alternativo do Assunto) na entrada DNS.
A extensão de uso de chave aprimorada inclui o identificador de objeto autenticação do servidor (1.3.6.1.5.5.7.3.1).
A chave privada associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o
certutil -verifykeys
comando.A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estas etapas:
No controlador de domínio, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Serverssl.cer.
Copie o arquivo Serverssl.cer para o computador cliente.
No computador cliente, abra uma janela prompt de comando.
No prompt de comando, digite o comando a seguir para enviar a saída de comando para um arquivo chamado Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Observação
Para seguir esta etapa, você deve ter a ferramenta de linha de comando do Certutil instalada.
Abra o arquivo Output.txt e pesquise por erros.
Etapa 2: verificar o certificado de autenticação do cliente
Em alguns casos, o LDAPS usa um certificado de Autenticação do Cliente se estiver disponível no computador cliente. Se esse certificado estiver disponível, verifique se o certificado atende aos seguintes requisitos:
A extensão de uso de chave aprimorada inclui o identificador de objeto autenticação do cliente (1.3.6.1.5.5.7.3.2).
A chave privada associada está disponível no computador cliente. Para verificar se a chave está disponível, use o
certutil -verifykeys
comando.A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estas etapas:
No computador cliente, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Clientssl.cer.
Copie o arquivo Clientssl.cer para o servidor.
No servidor, abra uma janela prompt de comando.
No prompt de comando, digite o comando a seguir para enviar a saída de comando para um arquivo chamado Outputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
Abra o arquivo Outputclient.txt e pesquise por erros.
Etapa 3: verificar vários certificados SSL
Determine se vários certificados SSL atendem aos requisitos descritos na etapa 1. O Schannel (provedor do Microsoft SSL) seleciona o primeiro certificado válido que o Schannel encontra no repositório de computadores local. Se vários certificados válidos estiverem disponíveis no repositório de computadores local, o Schannel poderá não selecionar o certificado correto. Um conflito com um certificado de autoridade de certificação (AC) pode ocorrer se a AC estiver instalada em um controlador de domínio que você está tentando acessar por meio do LDAPS.
Etapa 4: verificar a conexão LDAPS no servidor
Use a ferramenta Ldp.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não puder se conectar ao servidor usando a porta 636, consulte os erros gerados Ldp.exe. Além disso, exiba os logs de Visualizador de Eventos para encontrar erros. Para obter mais informações sobre como usar Ldp.exe para se conectar à porta 636, confira Como habilitar o LDAP por SSL com uma autoridade de certificação de terceiros.
Etapa 5: habilitar o registro em log do Schannel
Habilite o log de eventos do Schannel no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos do Schannel, confira Como habilitar o log de eventos do Schannel no Windows e no Windows Server.
Observação
Se você precisar executar a depuração de SSL em um computador que está executando o Microsoft Windows NT 4.0, você deve usar um arquivo Schannel.dll para o pacote de serviços instalado Windows NT 4.0 e conectar um depurador ao computador. O registro em log do Schannel envia apenas a saída para um depurador no Windows NT 4.0.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários