Τρόπος αντιμετώπισης προβλημάτων LDAP μέσω προβλήματα σύνδεσης SSL

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 938703
ΕΙΣΑΓΩΓΉ
Αυτό το άρθρο περιγράφει τον τρόπο αντιμετώπισης προβλημάτων LDAP μέσω προβλήματα σύνδεσης SSL (LDAPS).
Περισσότερες πληροφορίες
Αντιμετώπιση προβλημάτων σύνδεσης LDAPS, ακολουθήστε τα εξής βήματα.

Βήμα 1: Επαληθεύστε το πιστοποιητικό ελέγχου ταυτότητας διακομιστή

Βεβαιωθείτε ότι το πιστοποιητικό ελέγχου ταυτότητας διακομιστή που χρησιμοποιείτε πληροί τις ακόλουθες απαιτήσεις:
  • Εμφανίζεται το όνομα έγκυρου τομέα υπηρεσίας καταλόγου Active Directory του ελεγκτή τομέα σε μία από τις ακόλουθες θέσεις:
    • Το κοινό όνομα (CN) στο πεδίο "θέμα"
    • Η επέκταση ονόματος εναλλακτική θέμα (SAN) στην εγγραφή DNS
  • Η επέκταση βελτιωμένης χρήσης κλειδιού περιλαμβάνει το αναγνωριστικό αντικειμένου ελέγχου ταυτότητας διακομιστή (1.3.6.1.5.5.7.3.1).
  • Το συσχετισμένο ιδιωτικό κλειδί είναι διαθέσιμη στον ελεγκτή τομέα. Για να επαληθεύσετε ότι το κλειδί είναι διαθέσιμο, χρησιμοποιήστε το certutil - verifykeys η εντολή.
  • Η αλληλουχία πιστοποιητικών είναι έγκυρη στον υπολογιστή-πελάτη. Για να διαπιστώσετε εάν το πιστοποιητικό δεν είναι έγκυρο, ακολουθήστε τα εξής βήματα:
    1. Στον ελεγκτή τομέα, χρησιμοποιήστε το συμπληρωματικό πρόγραμμα πιστοποιητικών για να εξαγάγετε το πιστοποιητικό SSL σε ένα αρχείο που ονομάζεται Serverssl.cer.
    2. Αντιγράψτε το αρχείο Serverssl.cer στον υπολογιστή-πελάτη.
    3. Στον υπολογιστή-πελάτη, ανοίξτε ένα παράθυρο γραμμής εντολών.
    4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή για να αποστείλετε την έξοδο της εντολής σε ένα αρχείο που ονομάζεται Output.txt:
      certutil - v - urlfetch-επαλήθευση serverssl.cer > output.txt
      Σημείωση Για να ακολουθήσετε αυτό το βήμα, πρέπει να έχετε το εργαλείο της γραμμής εντολών Certutil εγκατεστημένο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του Certutil και σχετικά με τη χρήση Certutil, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
      Κατανόηση των κλειδιών αποκατάστασης του χρήστη
      http://technet2.Microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=TRUE

    5. Ανοίξτε το αρχείο Output.txt και, στη συνέχεια, αναζητήστε για σφάλματα.

Βήμα 2: Επαληθεύστε το πιστοποιητικό ελέγχου ταυτότητας υπολογιστή-πελάτη

Σε ορισμένες περιπτώσεις, LDAPS χρησιμοποιεί ένα πιστοποιητικό ελέγχου ταυτότητας υπολογιστή-πελάτη, εάν είναι διαθέσιμη στον υπολογιστή-πελάτη. Εάν το εν λόγω πιστοποιητικό είναι διαθέσιμη, βεβαιωθείτε ότι το πιστοποιητικό που πληροί τις ακόλουθες απαιτήσεις:
  • Η επέκταση βελτιωμένης χρήσης κλειδιού περιλαμβάνει το αναγνωριστικό αντικειμένου ελέγχου ταυτότητας υπολογιστή-πελάτη (1.3.6.1.5.5.7.3.2).
  • Το συσχετισμένο ιδιωτικό κλειδί είναι διαθέσιμη στον υπολογιστή-πελάτη. Για να επαληθεύσετε ότι το κλειδί είναι διαθέσιμο, χρησιμοποιήστε το certutil - verifykeys η εντολή.
  • Η αλληλουχία πιστοποιητικών είναι έγκυρη στον ελεγκτή τομέα. Για να διαπιστώσετε εάν το πιστοποιητικό δεν είναι έγκυρο, ακολουθήστε τα εξής βήματα:
    1. Στον υπολογιστή-πελάτη, χρησιμοποιήστε το συμπληρωματικό πρόγραμμα πιστοποιητικά για να εξαγάγετε το πιστοποιητικό SSL σε ένα αρχείο που ονομάζεται Clientssl.cer.
    2. Αντιγράψτε το αρχείο Clientssl.cer στο διακομιστή.
    3. Στο διακομιστή, ανοίξτε ένα παράθυρο γραμμής εντολών.
    4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή για να αποστείλετε την έξοδο της εντολής σε ένα αρχείο που ονομάζεται Outputclient.txt:
      certutil - v - urlfetch-επαλήθευση serverssl.cer > outputclient.txt
    5. Ανοίξτε το αρχείο Outputclient.txt και, στη συνέχεια, αναζητήστε για σφάλματα.

Βήμα 3: Ελέγξτε για πολλά πιστοποιητικά SSL

Προσδιορίστε εάν πολλά πιστοποιητικά SSL πληροί τις απαιτήσεις που περιγράφονται στο βήμα 1. Το Schannel (η υπηρεσία παροχής SSL της Microsoft), επιλέγει το πρώτο έγκυρο πιστοποιητικό που εντοπίζει το Schannel στο χώρο αποθήκευσης του τοπικού υπολογιστή. Εάν υπάρχουν διαθέσιμα πολλά έγκυρα πιστοποιητικά στο χώρο αποθήκευσης του τοπικού υπολογιστή, το Schannel ενδέχεται να μην επιλέξει το σωστό πιστοποιητικό. Μια διένεξη με ένα πιστοποιητικό αρχή έκδοσης (CA) πιστοποιητικών μπορεί να προκύψει, εάν η CA είναι εγκατεστημένο σε έναν ελεγκτή τομέα που προσπαθείτε να αποκτήσετε πρόσβαση μέσω του LDAPS.

Βήμα 4: Επαλήθευση της σύνδεσης LDAPS στο διακομιστή

Χρήση του εργαλείου Ldp.exe στον ελεγκτή τομέα, για να προσπαθήσετε να συνδεθείτε με το διακομιστή μέσω θύρας 636. Εάν δεν μπορείτε να συνδεθείτε με το διακομιστή μέσω θύρας 636, δείτε τα σφάλματα που δημιουργεί το Ldp.exe. Επίσης, μπορείτε να προβάλετε τα αρχεία καταγραφής της προβολής συμβάντων για να εντοπίσετε σφάλματα. Για περισσότερες πληροφορίες σχετικά με τη χρήση Ldp.exe, για να συνδεθείτε στη θύρα 636, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
321051 Τρόπος ενεργοποίησης του LDAP στο SSL με μια αρχή έκδοσης πιστοποιητικών τρίτου

Βήμα 5: Ενεργοποίηση καταγραφής Schannel

Ενεργοποίηση καταγραφής συμβάντος Schannel στο διακομιστή και στον υπολογιστή-πελάτη. Για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της καταγραφής συμβάντος Schannel, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
260729 Τρόπος ενεργοποίησης της καταγραφής των υπηρεσιών IIS το Schannel συμβάντων
Σημείωση Αν χρειαστεί να εκτελέσετε τον εντοπισμό σφαλμάτων SSL σε έναν υπολογιστή που εκτελεί Microsoft Windows NT 4.0, πρέπει να χρησιμοποιήσετε ένα αρχείο Schannel.dll για το εγκατεστημένο service pack των Windows NT 4.0 και στη συνέχεια συνδέστε ένα πρόγραμμα εντοπισμού σφαλμάτων στον υπολογιστή. Μόνο καταγραφή Schannel αποστέλλει την έξοδο σε ένα πρόγραμμα εντοπισμού σφαλμάτων στα Windows NT 4.0.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 938703 - Τελευταία αναθεώρηση: 03/15/2015 04:30:00 - Αναθεώρηση: 3.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtel
Σχόλια