Устранение неполадок с подключением LDAP через SSL
В этой статье рассматриваются действия по устранению неполадок с подключением LDAP через SSL (LDAPS).
Применяется к: Windows Server 2003
Исходный номер базы знаний: 938703
Шаг 1. Проверка сертификата проверки подлинности сервера
Убедитесь, что используемый сертификат проверки подлинности сервера соответствует следующим требованиям:
Полное доменное имя контроллера домена Active Directory отображается в одном из следующих расположений:
- Общее имя (CN) в поле Subject .
- Расширение "Альтернативное имя субъекта" (SAN) в записи DNS.
Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).
Связанный закрытый ключ доступен на контроллере домена. Чтобы убедиться, что ключ доступен, используйте
certutil -verifykeys
команду .Цепочка сертификатов действительна на клиентском компьютере. Чтобы определить, действителен ли сертификат, выполните следующие действия.
На контроллере домена используйте оснастку Сертификаты, чтобы экспортировать SSL-сертификат в файл с именем Serverssl.cer.
Скопируйте файл Serverssl.cer на клиентский компьютер.
На клиентском компьютере откройте окно командной строки.
В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именемOutput.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Примечание.
Для выполнения этого шага необходимо установить программу командной строки Certutil.
Откройте файл Output.txt и найдите ошибки.
Шаг 2. Проверка сертификата проверки подлинности клиента
В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентском компьютере. Если такой сертификат доступен, убедитесь, что он соответствует следующим требованиям:
Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2).
Связанный закрытый ключ доступен на клиентском компьютере. Чтобы убедиться, что ключ доступен, используйте
certutil -verifykeys
команду .Цепочка сертификатов действительна на контроллере домена. Чтобы определить, действителен ли сертификат, выполните следующие действия.
На клиентском компьютере используйте оснастку Сертификаты, чтобы экспортировать SSL-сертификат в файл с именем Clientssl.cer.
Скопируйте файл Clientssl.cer на сервер.
На сервере откройте окно командной строки.
В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именемOutputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
Откройте файл Outputclient.txt и найдите ошибки.
Шаг 3. Проверка наличия нескольких SSL-сертификатов
Определите, соответствуют ли несколько SSL-сертификатов требованиям, описанным на шаге 1. Schannel (поставщик Microsoft SSL) выбирает первый допустимый сертификат, который Schannel находит в хранилище локального компьютера. Если в хранилище локального компьютера доступно несколько допустимых сертификатов, Schannel может не выбрать правильный сертификат. Конфликт с сертификатом центра сертификации (ЦС) может возникнуть, если ЦС установлен на контроллере домена, к которому вы пытаетесь получить доступ через LDAPS.
Шаг 4. Проверка подключения LDAPS на сервере
Используйте средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу с помощью порта 636. Если не удается подключиться к серверу с помощью порта 636, ознакомьтесь с ошибками, которые Ldp.exe возникают. Кроме того, просмотрите журналы Просмотр событий, чтобы найти ошибки. Дополнительные сведения об использовании Ldp.exe для подключения к порту 636 см. в статье Включение протокола LDAP по протоколу SSL с помощью стороннего центра сертификации.
Шаг 5. Включение ведения журнала Schannel
Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Дополнительные сведения о том, как включить ведение журнала событий Schannel, см. в статье Включение ведения журнала событий Schannel в Windows и Windows Server.
Примечание.
Если необходимо выполнить отладку SSL на компьютере под управлением Microsoft Windows NT 4.0, необходимо использовать файл Schannel.dll для установленного пакета обновления Windows NT 4.0, а затем подключить отладчик к компьютеру. Ведение журнала Schannel отправляет выходные данные только в отладчик в Windows NT 4.0.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по