วิธีการแก้ปัญหา LDAP ผ่านปัญหาการเชื่อมต่อ SSL

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 938703 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

บทความนี้อธิบายถึงวิธีการแก้ปัญหา LDAP ผ่านปัญหาการเชื่อมต่อ SSL (LDAPS)

ข้อมูลเพิ่มเติม

เมื่อต้องการแก้ไขปัญหาการเชื่อมต่อ LDAPS ทำตามขั้นตอนเหล่านี้

ขั้นตอนที่ 1: ตรวจสอบใบรับรองการรับรองความถูกต้องของเซิร์ฟเวอร์

ตรวจสอบให้แน่ใจว่า ใบรับรองการรับรองความถูกต้องของเซิร์ฟเวอร์ที่คุณใช้เป็นไปตามข้อกำหนดต่อไปนี้:
  • ชื่อโดเมน Active Directory ของตัวควบคุมโดเมนปรากฏในตำแหน่งที่ตั้งต่อไปนี้อย่างใดอย่างหนึ่ง:
    • ชื่อทั่วไป (CN) ในฟิลด์ชื่อเรื่อง
    • นามสกุลของชื่อแสดงแทนชื่อเรื่อง (SAN) ในรายการ DNS
  • ส่วนขยายการใช้คีย์ขั้นสูงมีตัวระบุวัตถุการรับรองความถูกต้องของเซิร์ฟเวอร์ (1.3.6.1.5.5.7.3.1)
  • คีย์ส่วนตัวที่เกี่ยวข้องจะพร้อมใช้งานบนตัวควบคุมโดเมน เมื่อต้องการตรวจสอบว่า คีย์มีอยู่ ใช้certutil - verifykeysคำสั่ง
  • สายใบรับรองไม่ถูกต้องในคอมพิวเตอร์ไคลเอนต์ การตรวจสอบว่าใบรับรองถูกต้องหรือไม่ ดำเนินการดังต่อไปนี้:
    1. บนตัวควบคุมโดเมน ใช้ Certificates snap-in ในการส่งออกใบรับรอง SSL ไปยังแฟ้มที่ชื่อ Serverssl.cer
    2. คัดลอกแฟ้ม Serverssl.cer ไปคอมพิวเตอร์ไคลเอนต์
    3. บนคอมพิวเตอร์ไคลเอนต์ เปิดหน้าต่างพร้อมรับคำสั่ง
    4. หน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้เพื่อส่งออกคำสั่งไปยังแฟ้มที่ชื่อ Output.txt:
      การตรวจสอบ certutil - v - urlfetch - serverssl.cer > output.txt
      หมายเหตุ:เมื่อต้องการให้ทำตามขั้นตอนนี้ คุณต้องมีเครื่องมือ' Certutil บรรทัดคำสั่ง'ติดตั้ง สำหรับข้อมูลเพิ่มเติม เกี่ยวกับวิธีการขอรับ Certutil และ เกี่ยวกับวิธีการใช้ Certutil แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
      การทำความเข้าใจเกี่ยวกับการกู้คืนคีย์ของผู้ใช้
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. เปิดแฟ้ม Output.txt และค้นหาข้อผิดพลาด

ขั้นตอนที่ 2: ตรวจสอบใบรับรองการรับรองความถูกต้องของไคลเอ็นต์

ในบางกรณี LDAPS ใช้ใบรับรองการรับรองความถูกต้องของไคลเอ็นต์ถ้ามีคอมพิวเตอร์ไคลเอนต์ ถ้าใบรับรองมีอยู่ ตรวจสอบให้แน่ใจว่า ใบรับรองที่เป็นไปตามข้อกำหนดต่อไปนี้:
  • ส่วนขยายการใช้คีย์ขั้นสูงมีตัวระบุวัตถุการรับรองความถูกต้องของไคลเอ็นต์ (1.3.6.1.5.5.7.3.2)
  • คีย์ส่วนตัวที่เกี่ยวข้องจะพร้อมใช้งานบนคอมพิวเตอร์ไคลเอนต์ เมื่อต้องการตรวจสอบว่า คีย์มีอยู่ ใช้certutil - verifykeysคำสั่ง
  • สายใบรับรองนั้นถูกต้องสำหรับตัวควบคุมโดเมน การตรวจสอบว่าใบรับรองถูกต้องหรือไม่ ดำเนินการดังต่อไปนี้:
    1. บนคอมพิวเตอร์ไคลเอนต์ ใช้ Certificates snap-in การส่งออกใบรับรอง SSL ไปยังแฟ้มที่ชื่อ Clientssl.cer
    2. คัดลอกแฟ้ม Clientssl.cer ไปยังเซิร์ฟเวอร์
    3. บนเซิร์ฟเวอร์ เปิดหน้าต่างพร้อมรับคำสั่ง
    4. หน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้เพื่อส่งออกคำสั่งไปยังแฟ้มที่ชื่อ Outputclient.txt:
      การตรวจสอบ certutil - v - urlfetch - serverssl.cer > outputclient.txt
    5. เปิดแฟ้ม Outputclient.txt และค้นหาข้อผิดพลาด

ขั้นตอนที่ 3: ตรวจสอบใบรับรอง SSL หลาย

กำหนดว่า ใบรับรอง SSL หลายตรงกับความต้องการที่อธิบายไว้ในขั้นตอนที่ 1 Schannel (ให้ Microsoft SSL) ให้เลือกใบรับรองถูกต้องแรกที่ Schannel ค้นหาในเก็บภายในเครื่องคอมพิวเตอร์ หากใบรับรองที่ถูกต้องหลายพร้อมใช้งานในเก็บภายในเครื่องคอมพิวเตอร์ Schannel อาจเลือกไม่ใบรับรองที่ถูกต้อง มีข้อขัดแย้งกับใบรับรองใบรับรองการรับรอง (CA) อาจเกิดขึ้นหากมีการติดตั้ง CA บนตัวควบคุมโดเมนที่คุณกำลังพยายามเข้าถึงผ่าน LDAPS

ขั้นตอนที่ 4: ตรวจสอบการเชื่อมต่อ LDAPS บนเซิร์ฟเวอร์

ใช้เครื่องมือ Ldp.exe บนตัวควบคุมโดเมนเพื่อพยายามเชื่อมต่อกับเซิร์ฟเวอร์ โดยใช้พอร์ต 636 ถ้าไม่คุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์ โดยใช้พอร์ต 636 ดูข้อผิดพลาดที่สร้าง Ldp.exe นอกจากนี้ ดูไฟล์บันทึกของตัวแสดงเหตุการณ์เพื่อค้นหาข้อผิดพลาดสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้การเชื่อมต่อกับพอร์ต 636 Ldp.exe คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
321051วิธีการเปิดใช้งาน LDAP ผ่าน SSL กับบริษัทรับรอง

ขั้นตอนที่ 5: เปิดใช้งานการบันทึก Schannel

Enable Schannel event logging on the server and on the client computer.For more information about how to enable Schannel event logging, click the following article number to view the article in the Microsoft Knowledge Base:
260729How to enable Schannel event logging in IIS
หมายเหตุ:If you have to perform SSL debugging on a computer that is running Microsoft Windows NT 4.0, you must use a Schannel.dll file for the installed Windows NT 4.0 service pack and then connect a debugger to the computer. Schannel logging only sends output to a debugger in Windows NT 4.0.

คุณสมบัติ

หมายเลขบทความ (Article ID): 938703 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:938703

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com