Устранение проблем подключения SSL через LDAP

Переводы статьи Переводы статьи
Код статьи: 938703 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье описано устранение LDAP через SSL (LDAPS) проблемы с подключением.

Дополнительная информация

Устранение неполадок подключения LDAPS, выполните следующие действия.

Шаг 1: Проверка сертификата проверки подлинности сервера

Убедитесь, что сертификат проверки подлинности сервера, который используется соответствует следующим требованиям:
  • Полное доменное имя Active Directory контроллера домена появится в одном из следующих мест:
    • Общее имя (CN) в поле «Тема»
    • Расширение имени альтернативного субъекта (SAN) в записи DNS
  • Расширения использования улучшенных ключей включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).
  • Связанный закрытый ключ на контроллере домена. Чтобы убедиться, что ключ доступен, с помощью Команда certutil - verifykeys команда.
  • Цепочка сертификатов на клиентском компьютере. Чтобы определить, допустимо ли сертификат, выполните следующие действия.
    1. На контроллере домена с помощью оснастки «Сертификаты» в Экспорт SSL-сертификата в файл с именем Serverssl.cer.
    2. Скопируйте файл Serverssl.cer на клиентском компьютере.
    3. На клиентском компьютере откройте окно командной строки.
    4. В командной строке введите следующую команду для отправки выходных данных команды в файл с именем Output.txt:
      Команда certutil - v - urlfetch-проверьте serverssl.cer > output.txt
      Примечание Для этого этапа необходимо иметь установленные средства командной строки Certutil. Для получения дополнительных сведений о получении Certutil и по использованию команды Certutil посетите следующий веб-узел корпорации Майкрософт:
      Общие сведения о восстановлении ключа пользователя
      http://technet2.Microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. Открыть файл Output.txt, а затем выполните поиск ошибки.

Шаг 2: Проверка сертификата проверки подлинности клиента

В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентском компьютере. Если такой сертификат, убедитесь, что сертификат отвечает следующим требованиям:
  • Идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2) в расширениях улучшенных ключей.
  • Соответствующего закрытого ключа на клиентском компьютере. Чтобы убедиться, что ключ доступен, с помощью Команда certutil - verifykeys команда.
  • Цепочка сертификатов действителен на контроллере домена. Чтобы определить, допустимо ли сертификат, выполните следующие действия.
    1. На клиентском компьютере с помощью оснастки «Сертификаты» в Экспорт SSL-сертификата в файл с именем Clientssl.cer.
    2. Скопируйте файл Clientssl.cer на сервер.
    3. На сервере откройте окно командной строки.
    4. В командной строке введите следующую команду для отправки выходных данных команды в файл с именем Outputclient.txt:
      Команда certutil - v - urlfetch-проверьте serverssl.cer > outputclient.txt
    5. Откройте файл Outputclient.txt, а затем выполните поиск ошибки.

Шаг 3: Проверка на наличие нескольких сертификатов SSL

Определите, удовлетворяют ли несколько SSL-сертификатов требования, описанные в шаге 1. Schannel (поставщик SSL для корпорации Майкрософт) выбирает первый действующий сертификат Schannel находит в хранилище локального компьютера. Если несколько допустимых сертификатов в хранилище локального компьютера, то Schannel может выбрать правильный сертификат. Если ЦС установлен на контроллере домена, который вы пытаетесь получить доступ через LDAPS, может возникнуть конфликт с сертификатом центра сертификации.

Шаг 4: Проверьте соединение LDAPS на сервере

Запустите средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу, используя порт 636. Если не удается подключиться к серверу, используя порт 636, просмотреть ошибки, создаваемые Ldp.exe. Кроме того просмотрите журналы программы просмотра событий для поиска ошибок. Для получения дополнительных сведений об использовании программы Ldp.exe для подключения к порту 636 щелкните следующий номер статьи базы знаний Майкрософт:
321051Активация LDAP через SSL с центром сертификации стороннего

Шаг 5: Включить ведение журнала Schannel

Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Для получения дополнительных сведений о том, как включить ведение журнала событий Schannel щелкните следующий номер статьи базы знаний Майкрософт:
260729Включение ведения журналов в IIS события Schannel
Примечание Если необходимо выполнить отладку SSL на компьютере под управлением Microsoft Windows NT 4.0, необходимо с помощью файла Schannel.dll установленного пакета обновления для Windows NT 4.0 и подключаются к компьютеру отладчика. Ведение журнала Schannel только отправляет выходные данные в отладчик Windows NT 4.0.

Свойства

Код статьи: 938703 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
Ключевые слова: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:938703

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com