Behandlung von LDAP über SSL-Verbindungsprobleme

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 938703
Einführung
Dieser Artikel beschreibt die Behandlung von LDAP über SSL (LDAPS) Verbindungsprobleme.
Weitere Informationen
Gehen Sie folgendermaßen vor, um LDAPS-Verbindungsprobleme zu beheben.

Schritt 1: Überprüfen Sie, ob das Zertifikat für die Serverauthentifizierung

Stellen Sie sicher, dass das Serverauthentifizierungszertifikat, mit denen Sie die folgenden Anforderungen erfüllt:
  • Der Active Directory vollständig qualifizierten Domänennamen des Domänencontrollers wird in einem der folgenden Speicherorte:
    • Der allgemeine Name (CN) im Feld Betreff
    • Die Erweiterung Subject Alternative Name (SAN) in der DNS-Eintrag
  • Die Erweiterung für die erweiterte Schlüsselverwendung enthält den Objektbezeichner Serverauthentifizierung (1.3.6.1.5.5.7.3.1).
  • Der zugeordnete private Schlüssel wird auf dem Domänencontroller zur Verfügung. Um sicherzustellen, dass der Schlüssel vorhanden ist, verwenden Sie die Certutil - verifykeys Befehl.
  • Die Zertifikatkette ist auf dem Clientcomputer gültig. Um festzustellen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Domänencontroller das Zertifikate-Snap-in, um das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer zu exportieren.
    2. Kopieren Sie die Datei Serverssl.cer auf dem Client-Computer.
    3. Öffnen Sie auf dem Client-Computer ein Eingabeaufforderungsfenster.
    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Ausgabe des Befehls an eine Datei senden, die Output.txt heißt:
      Certutil - V - Urlfetch-serverssl.cer überprüfen > output.txt
      Hinweis Wenn Sie dies tun, müssen Sie das Certutil-Befehlszeilentool installiert haben. Weitere Informationen über das Abrufen von Certutil und zum Verwenden von Certutil finden Sie auf der folgenden Microsoft-Website:
    5. Öffnen Sie die Datei "Output.txt", und suchen Sie nach Fehlern.

Schritt 2: Überprüfen Sie, ob das Client-Authentifizierungszertifikat

In einigen Fällen verwendet LDAPS ein Client-Authentifizierungszertifikat, wenn es auf dem Clientcomputer verfügbar ist. Wenn ein solches Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:
  • Die Erweiterung für die erweiterte Schlüsselverwendung enthält den Objektbezeichner Clientauthentifizierung (1.3.6.1.5.5.7.3.2).
  • Der zugeordnete private Schlüssel wird auf dem Client-Computer verfügbar. Um sicherzustellen, dass der Schlüssel vorhanden ist, verwenden Sie die Certutil - verifykeys Befehl.
  • Die Zertifikatkette ist auf dem Domänencontroller gültig. Um festzustellen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Clientcomputer das Zertifikate-Snap-in, um das SSL-Zertifikat in eine Datei mit dem Namen Clientssl.cer zu exportieren.
    2. Kopieren Sie die Datei Clientssl.cer auf den Server.
    3. Öffnen Sie auf dem Server ein Eingabeaufforderungsfenster.
    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Ausgabe des Befehls in eine Datei mit dem Namen Outputclient.txt zu senden:
      Certutil - V - Urlfetch-serverssl.cer überprüfen > outputclient.txt
    5. Öffnen Sie die Datei Outputclient.txt, und suchen Sie nach Fehlern.

Schritt 3: Prüfen Sie, ob mehrere SSL-Zertifikate

Bestimmen Sie, ob mehrere SSL-Zertifikate die Anforderungen erfüllen, die in Schritt 1 beschrieben werden. Schannel (Microsoft-SSL-Anbieter) Wählt das erste gültige Zertifikat aus, dem Schannel in den Speicher des lokalen Computers sucht. Wenn mehrere gültige Zertifikate im Speicher lokalen Computers verfügbar sind, kann Schannel nicht das richtige Zertifikat auswählen. Ein Konflikt mit einem Zertifikat der Zertifizierungsstelle (CA) kann auftreten, wenn die Zertifizierungsstelle auf einem Domänencontroller installiert ist, die Sie über LDAPS zugreifen möchten.

Schritt 4: Überprüfen Sie, ob die LDAPS-Verbindung auf dem server

Verwenden Sie das Tool Ldp.exe auf dem Domänencontroller um zu versuchen, die Verbindung zum Server über Port 636. Wenn Sie mit dem Server verbinden können über Port 636, finden Sie die Fehler, die Ldp.exe generiert. Außerdem Anzeigen der Protokolle der Ereignisanzeige suchen Sie Fehler. Weitere Informationen dazu, wie Sie Ldp.exe verwenden, um eine Verbindung mit Port 636 klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
321051 Gewusst wie: Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle

Schritt 5: Aktivieren der Schannel-Protokollierung

Schannel-Ereignisprotokollierung auf dem Server und auf dem Client-Computer zu aktivieren. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
260729 Gewusst wie: Aktivieren Sie die Schannel-Protokollierung in IIS
Hinweis Haben Sie SSL auf einem Computer mit Microsoft Windows NT 4.0 Debuggen durchführen, müssen Sie eine Datei "Schannel.dll" für die installierten Servicepacks für Windows NT 4.0 verwenden und dann einen Debugger an den Computer anschließen. SChannel-Protokollierung sendet nur die Ausgabe an einen Debugger unter Windows NT 4.0.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 938703 – Letzte Überarbeitung: 03/15/2015 04:11:00 – Revision: 3.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtde
Feedback