В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Устранение неполадок LDAP через SSL проблем подключения

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 938703
ВВЕДЕНИЕ
В данной статье рассматривается устранение LDAP через SSL (LDAPS) проблем подключения.
Дополнительная информация
Для устранения проблем подключения LDAPS, выполните следующие действия.

Шаг 1: Проверка сертификата проверки подлинности сервера

Убедитесь, что сертификат проверки подлинности сервера, используемого отвечает следующим требованиям:
  • Полное доменное имя Active Directory контроллера домена отображается в одном из следующих мест:
    • Общее имя (CN) в поле «Тема»
    • Расширение вместо имени субъекта (SAN) в записи DNS
  • Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).
  • На контроллере домена доступен соответствующий закрытый ключ. Чтобы убедиться, что ключ доступен, используйте Команда Certutil - verifykeys команда.
  • Цепочка сертификатов действителен на клиентском компьютере. Чтобы определить, допустимо ли сертификат, выполните следующие действия.
    1. На контроллере домена используйте оснастку «Сертификаты» для экспорта SSL-сертификата в файл с именем Serverssl.cer.
    2. Скопируйте файл Serverssl.cer на клиентский компьютер.
    3. На клиентском компьютере откройте окно командной строки.
    4. В командной строке введите следующую команду для отправки выходных данных команды в файл с именем Output.txt:
      Команда Certutil - v - urlfetch-проверьте serverssl.cer настроек output.txt
      Примечание Выполните это действие, необходимо установить средства командной строки Certutil. Дополнительные сведения о получении Certutil и о том, как с помощью команды Certutil посетите следующий веб-узел корпорации Майкрософт:
      Общие сведения о восстановлении ключа пользователя
      http://technet2.Microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true

    5. Откройте файл Output.txt и поиска ошибок.

Шаг 2: Проверка сертификата проверки подлинности клиента

В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентском компьютере. При наличии такого сертификата убедитесь, что сертификат отвечает следующим требованиям:
  • Идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2) в расширениях расширенного использования ключа.
  • На клиентском компьютере доступен соответствующий закрытый ключ. Чтобы убедиться, что ключ доступен, используйте Команда Certutil - verifykeys команда.
  • Цепочка сертификатов действителен на контроллере домена. Чтобы определить, допустимо ли сертификат, выполните следующие действия.
    1. На клиентском компьютере используйте оснастку «Сертификаты» для экспорта SSL-сертификата в файл с именем Clientssl.cer.
    2. Скопируйте файл Clientssl.cer на сервер.
    3. На сервере откройте окно командной строки.
    4. В командной строке введите следующую команду для отправки выходных данных команды в файл с именем Outputclient.txt:
      Команда Certutil - v - urlfetch-проверьте serverssl.cer настроек outputclient.txt
    5. Откройте файл Outputclient.txt и найдите ошибки.

Шаг 3: Проверка несколько SSL-сертификатов

Определите, удовлетворяют ли несколько SSL-сертификатов, требования, описанные в шаге 1. Schannel (поставщик SSL для корпорации Майкрософт) выбирает первый действующий сертификат, который находит Schannel в хранилище локального компьютера. Если в хранилище локального компьютера доступны несколько действующих сертификатов, то Schannel может выбрать правильный сертификат. Если ЦС установлен на контроллере домена, который вы пытаетесь получить доступ через LDAPS, может возникнуть конфликт с сертификатов центров сертификации (ЦС).

Шаг 4: Проверьте соединение LDAPS на сервере

Используйте средство Ldp.exe на контроллере домена для подключения к серверу используется порт 636. Если не удается подключиться к серверу, используя порт 636, увидеть ошибки, приводит к возникновению ошибки Ldp.exe. Кроме того просмотрите журналы просмотра событий для поиска ошибок. Дополнительные сведения об использовании Ldp.exe для подключения к порту 636 щелкните следующий номер статьи базы знаний Майкрософт:
321051 Активация LDAP через SSL с центром сертификации независимых производителей

Шаг 5: Включить ведение журнала для безопасного канала Schannel

Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Дополнительные сведения о том, как включить ведение журнала событий для безопасного канала Schannel щелкните следующий номер статьи базы знаний Майкрософт:
260729 Как включить ведение журнала в IIS события Schannel
Примечание Если необходимо выполнить отладку SSL на компьютере под управлением Microsoft Windows NT 4.0, следует использовать файла Schannel.dll установленного пакета обновления для Windows NT 4.0 и затем подключиться к компьютеру отладчика. Ведение журнала Schannel только направляет выходные данные отладки в Windows NT 4.0.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 938703 — последний просмотр: 03/15/2015 08:42:00 — редакция: 5.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtru
Отзывы и предложения