Odstraňování protokolu LDAP přes SSL připojení problémy

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 938703
ÚVOD
Tento článek popisuje řešení potíží s LDAP přes SSL (LDAPS) potíže s připojením.
Další informace
Chcete-li vyřešit potíže s připojením LDAPS, postupujte takto.

Krok 1: Ověřte certifikát ověření serveru

Ujistěte se, že certifikát ověření serveru, který slouží splňuje následující požadavky:
  • Úplný doménový název služby Active Directory z řadiče domény se zobrazí v následujících umístěních:
    • Běžný název (CN) v poli Předmět
    • Rozšíření předmět alternativní název (SAN) v položce služby DNS
  • Rozšíření použití rozšířeného klíče obsahuje identifikátor objektu ověření serveru (1.3.6.1.5.5.7.3.1).
  • Přidružený soukromý klíč k dispozici na řadiči domény. Chcete-li ověřit, zda je k dispozici klíč, použijte certutil - verifykeys .
  • Řetěz certifikátů v klientském počítači platí. Chcete-li zjistit, zda je certifikát platný, postupujte takto:
    1. V řadiči domény pomocí modulu snap-in Certifikáty SSL certifikát exportovat do souboru s názvem Serverssl.cer.
    2. Zkopírujte soubor Serverssl.cer do klientského počítače.
    3. V klientském počítači otevřete okno příkazového řádku.
    4. Na příkazovém řádku zadejte následující příkaz k odeslání výstupu příkazu do souboru s názvem výstup.txt:
      certutil - v - urlfetch-ověření serverssl.cer > výstup.txt
      Poznámka: Chcete-li použít tento krok, musí mít nainstalován nástroj příkazového řádku Certutil. Další informace o možnostech získání Certutil a způsob použití příkazu Certutil naleznete na následujícím webu společnosti Microsoft:
    5. Otevření souboru výstup.txt a vyhledejte chyby.

Krok 2: Ověřte certifikát ověření klienta

V některých případech používá LDAPS certifikát ověření klienta, pokud je v klientském počítači k dispozici. Pokud je takovým osvědčením, jež je k dispozici, ujistěte se, že certifikát splňuje následující požadavky:
  • Rozšíření použití rozšířeného klíče obsahuje identifikátor objektu ověření klienta (1.3.6.1.5.5.7.3.2).
  • Přidružený soukromý klíč je k dispozici v klientském počítači. Chcete-li ověřit, zda je k dispozici klíč, použijte certutil - verifykeys .
  • Řetěz certifikátů platí v řadiči domény. Chcete-li zjistit, zda je certifikát platný, postupujte takto:
    1. V klientském počítači pomocí modulu snap-in Certifikáty SSL certifikát exportovat do souboru s názvem Clientssl.cer.
    2. Zkopírujte soubor Clientssl.cer do serveru.
    3. Na serveru otevřete okno příkazového řádku.
    4. Na příkazovém řádku zadejte následující příkaz k odeslání výstupu příkazu do souboru s názvem Outputclient.txt:
      certutil - v - urlfetch-ověření serverssl.cer > outputclient.txt
    5. Otevřete soubor Outputclient.txt a vyhledejte chyby.

Krok 3: Kontrola více certifikátů SSL

Určete, zda více certifikátů SSL splňují požadavky, které jsou popsány v kroku 1. Kanálu Schannel (Zprostředkovatel Microsoft SSL) vybere první platný certifikát, který vyhledá Schannel v úložišti místního počítače. Pokud více platné certifikáty jsou k dispozici v úložišti místního počítače, nelze vybrat zprostředkovatele Schannel správný certifikát. Pokud je Certifikační autorita nainstalována v řadiči domény, který se pokoušíte získat přístup pomocí LDAPS, může dojít ke konfliktu s certifikátu certifikačního úřadu (CÚ).

Krok 4: Ověřte LDAPS připojení na serveru

Pomocí nástroje Ldp.exe v řadiči domény se pokusí připojit k serveru pomocí port 636. Pokud se nemůžete připojit k serveru pomocí port 636, viz chyby generované Ldp.exe. Také zobrazte protokoly Prohlížeče událostí vyhledejte chyby. Další informace o použití Ldp.exe k připojení na port 636 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
321051 Povolení protokolu LDAP přes připojení SSL pomocí jiného certifikačního úřadu

Krok 5: Povolit protokolování Schannel

Povolte protokolování událostí zprostředkovatele Schannel na serveru a v klientském počítači. Další informace o povolení protokolování událostí zprostředkovatele Schannel klepněte na následující číslo článku databáze Microsoft Knowledge Base:
260729 Postup při povolení protokolování ve službě IIS Schannel událostí.
Poznámka: Pokud budete muset provést ladění SSL do počítače se systémem Microsoft Windows NT 4.0, musíte pro nainstalované aktualizace service pack pro systém Windows NT 4.0 pomocí souboru Schannel.dll a k počítači připojte ladicí program. Protokolování Schannel pouze odešle výstup ladicí program systému Windows NT 4.0.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 938703 - Poslední kontrola: 03/15/2015 03:45:00 - Revize: 5.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtcs
Váš názor