SSL üzerinden LDAP bağlantı sorunlarını giderme

Bu makalede SSL üzerinden LDAP (LDAPS) bağlantı sorunlarını giderme adımları açıklanır.

Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 938703

1. Adım: Sunucu Kimlik Doğrulama sertifikasını doğrulama

Kullandığınız Sunucu Kimlik Doğrulaması sertifikasının aşağıdaki gereksinimleri karşıladığından emin olun:

• Etki alanı denetleyicisinin Active Directory tam etki alanı adı aşağıdaki konumlardan birinde görünür:

  • Konu alanındaki ortak ad (CN).
  • DNS girdisindeki Konu Alternatif Adı (SAN) uzantısı.

• Gelişmiş anahtar kullanımı uzantısı, Sunucu Kimlik Doğrulaması nesne tanımlayıcısını (1.3.6.1.5.5.7.3.1) içerir.

• İlişkili özel anahtar etki alanı denetleyicisinde kullanılabilir. Anahtarın kullanılabilir olduğunu doğrulamak için komutunu kullanın certutil -verifykeys .

• Sertifika zinciri istemci bilgisayarda geçerlidir. Sertifikanın geçerli olup olmadığını belirlemek için şu adımları izleyin:

  1. Etki alanı denetleyicisinde Sertifikalar ek bileşenini kullanarak SSL sertifikasını Serverssl.cer adlı bir dosyaya aktarın.

  2. Serverssl.cer dosyasını istemci bilgisayara kopyalayın.

  3. İstemci bilgisayarda bir Komut İstemi penceresi açın.

  4. Komut isteminde, komut çıktısını Output.txtadlı bir dosyaya göndermek için aşağıdaki komutu yazın:

     certutil -v -urlfetch -verify serverssl.cer > output.txt
     

     Not

     Bu adımı izlemek için Certutil komut satırı aracının yüklü olması gerekir.

  5. Output.txt dosyasını açın ve hataları arayın.

2. Adım: İstemci Kimlik Doğrulaması sertifikasını doğrulama

Bazı durumlarda LDAPS, istemci bilgisayarda kullanılabiliyorsa bir İstemci Kimlik Doğrulaması sertifikası kullanır. Böyle bir sertifika varsa, sertifikanın aşağıdaki gereksinimleri karşıladığından emin olun:

• Gelişmiş anahtar kullanımı uzantısı İstemci Kimlik Doğrulaması nesne tanımlayıcısını (1.3.6.1.5.5.7.3.2) içerir.

• İlişkili özel anahtar istemci bilgisayarda kullanılabilir. Anahtarın kullanılabilir olduğunu doğrulamak için komutunu kullanın certutil -verifykeys .

• Sertifika zinciri etki alanı denetleyicisinde geçerlidir. Sertifikanın geçerli olup olmadığını belirlemek için şu adımları izleyin:

  1. İstemci bilgisayarda, SSL sertifikasını Clientssl.cer adlı bir dosyaya aktarmak için Sertifikalar ek bileşenini kullanın.

  2. Clientssl.cer dosyasını sunucuya kopyalayın.

  3. Sunucuda bir Komut İstemi penceresi açın.

  4. Komut isteminde, komut çıktısını Outputclient.txtadlı bir dosyaya göndermek için aşağıdaki komutu yazın:

     certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
     

  5. Outputclient.txt dosyasını açın ve hataları arayın.

3. Adım: Birden çok SSL sertifikası olup olmadığını denetleme

Birden çok SSL sertifikasının 1. adımda açıklanan gereksinimleri karşılayıp karşılamadığını belirleyin. Schannel (Microsoft SSL sağlayıcısı), Schannel'in Yerel Bilgisayar deposunda bulduğu ilk geçerli sertifikayı seçer. Yerel Bilgisayar deposunda birden çok geçerli sertifika varsa, Schannel doğru sertifikayı seçemeyebilir. CA, LDAPS aracılığıyla erişmeye çalıştığınız bir etki alanı denetleyicisinde yüklüyse sertifika yetkilisi (CA) sertifikasıyla çakışma oluşabilir.

4. Adım: Sunucuda LDAPS bağlantısını doğrulama

636 numaralı bağlantı noktasını kullanarak sunucuya bağlanmayı denemek için etki alanı denetleyicisindeki Ldp.exe aracını kullanın. 636 numaralı bağlantı noktasını kullanarak sunucuya bağlanamıyorsanız, Ldp.exe oluşturduğu hatalara bakın. Ayrıca, hataları bulmak için Olay Görüntüleyicisi günlüklerini görüntüleyin. 636 numaralı bağlantı noktasına bağlanmak için Ldp.exe kullanma hakkında daha fazla bilgi için bkz. Üçüncü taraf sertifika yetkilisiyle SSL üzerinden LDAP'yi etkinleştirme.

5. Adım: Schannel günlüğünü etkinleştirme

Sunucuda ve istemci bilgisayarda Schannel olay günlüğünü etkinleştirin. Schannel olay günlüğünü etkinleştirme hakkında daha fazla bilgi için bkz. Windows ve Windows Server'da Schannel olay günlüğünü etkinleştirme.