現在オフラインです。再接続するためにインターネットの接続を待っています

LDAP over SSL に関する接続の問題のトラブルシューティングを行う方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

はじめに
この資料では、LDAP over SSL (LDAPS) に関する接続の問題のトラブルシューティングを行う方法について説明します。
詳細
LDAPS に関する接続の問題のトラブルシューティングを行うには、以下の手順を実行します。

手順 1 : サーバー認証証明書を確認する

使用しているサーバー認証証明書が以下の要件を満たしていることを確認します。
  • ドメイン コントローラの Active Directory 完全修飾ドメイン名が以下の場所のいずれかに表示される。
    • [サブジェクト] フィールドの共通名 (CN)
    • [サブジェクトの別名] (SAN) 拡張の DNS エントリ
  • [拡張キー使用法] 拡張に、サーバー認証のオブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれている。
  • 関連付けられている秘密キーがドメイン コントローラで使用できる。キーが使用できることを確認するには、certutil -verifykeys コマンドを使用します。
  • 証明書チェーンがクライアント コンピュータで有効である。証明書が有効かどうかを確認するには、以下の手順を実行します。
    1. ドメイン コントローラで、証明書スナップインを使用して SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。
    2. Serverssl.cer ファイルをクライアント コンピュータにコピーします。
    3. クライアント コンピュータでコマンド プロンプト ウィンドウを開きます。
    4. コマンド プロンプトで以下のコマンドを入力して、コマンドの出力を Output.txt という名前のファイルに送信します。
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      : この手順を実行するには、Certutil コマンド ライン ツールがインストールされている必要があります。Certutil の入手方法および使用方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
    5. Output.txt ファイルを開き、エラーを探します。

手順 2 : クライアント認証証明書を確認する

クライアント認証証明書がクライアント コンピュータで使用できる場合に、この証明書が LDAPS で使用されることがあります。証明書が使用できる場合は、証明書が以下の要件を満たしていることを確認します。
  • [拡張キー使用法] 拡張に、クライアント認証のオブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれている。
  • 関連付けられている秘密キーがクライアント コンピュータで使用できる。キーが使用できることを確認するには、certutil -verifykeys コマンドを使用します。
  • 証明書チェーンがドメイン コントローラで有効である。証明書が有効かどうかを確認するには、以下の手順を実行します。
    1. クライアント コンピュータで、証明書スナップインを使用して SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。
    2. Clientssl.cer ファイルをサーバーにコピーします。
    3. サーバーでコマンド プロンプト ウィンドウを開きます。
    4. コマンド プロンプトで以下のコマンドを入力して、コマンドの出力を Outputclient.txt という名前のファイルに送信します。
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. Outputclient.txt ファイルを開き、エラーを探します。

手順 3 : 複数の SSL 証明書を確認する

複数の SSL 証明書が手順 1. に記載されている要件を満たしているかどうかを確認します。Schannel (マイクロソフト SSL プロバイダ) では、ローカル コンピュータ ストアで見つかった最初の有効な証明書が選択されます。複数の有効な証明書がローカル コンピュータ ストアにある場合、Schannel で正しい証明書が選択されないことがあります。LDAPS を使用してアクセスするドメイン コントローラに証明機関 (CA) がインストールされている場合、CA 証明書との競合が発生することがあります。

手順 4 : サーバー上で LDAPS 接続を確認する

ドメイン コントローラで Ldp.exe ツールを使用し、ポート 636 を使用してサーバーに接続します。ポート 636 を使用してサーバーに接続できない場合は、Ldp.exe で生成されたエラーを確認します。また、イベント ビューアのログを参照してエラーを探します。Ldp.exe を使用してポート 636 に接続する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
321051 サードパーティの証明機関を使用して LDAP over SSL を有効にする方法

手順 5 : Schannel ログを有効にする

サーバーとクライアント コンピュータで Schannel イベント ログを有効にします。Schannel イベント ログを有効にする方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260729 Schannel イベント ログを有効にする方法
: Microsoft Windows NT 4.0 を実行しているコンピュータで SSL デバッグを実行する必要がある場合は、インストールされている Windows NT 4.0 Service Pack の Schannel.dll ファイルを使用して、デバッガをコンピュータに接続する必要があります。Schannel ログ機能では、Windows NT 4.0 のデバッガにのみ出力が送信されます。
プロパティ

文書番号:938703 - 最終更新日: 01/31/2008 04:15:00 - リビジョン: 2.1

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbhowto kbinfo kbexpertiseadvanced KB938703
フィードバック