Problembehandlung von LDAP über SSL-Verbindungsproblemen
In diesem Artikel werden Schritte zur Problembehandlung von LDAP über SSL (LDAPS)-Verbindungsproblemen beschrieben.
Gilt für: Windows Server 2016, Windows Server 2019, Windows Server 2022
Ursprüngliche KB-Nummer: 938703
Schritt 1: Überprüfen des Serverauthentifizierungszertifikats
Stellen Sie sicher, dass das von Ihnen verwendete Serverauthentifizierungszertifikat die folgenden Anforderungen erfüllt:
Der vollqualifizierte Domänenname des Active Directory-Domänencontrollers wird an einem der folgenden Speicherorte angezeigt:
- Der allgemeine Name (CN) im Feld "Betreff ".
- The Subject Alternative Name (SAN) extension in the DNS entry.
Die erweiterte Schlüsselverwendungserweiterung enthält den Serverauthentifizierungsobjektbezeichner (1.3.6.1.5.5.7.3.1).
Der zugeordnete private Schlüssel ist auf dem Domänencontroller verfügbar. Verwenden Sie den
certutil -verifykeys
Befehl, um zu überprüfen, ob der Schlüssel verfügbar ist.Die Zertifikatkette ist auf dem Clientcomputer gültig. Führen Sie die folgenden Schritte aus, um zu ermitteln, ob das Zertifikat gültig ist:
Verwenden Sie auf dem Domänencontroller das Zertifikat-Snap-In, um das SSL-Zertifikat in eine Datei zu exportieren, die Serverssl.cer heißt.
Kopieren Sie die datei Serverssl.cer auf den Clientcomputer.
Öffnen Sie auf dem Clientcomputer ein Eingabeaufforderungsfenster.
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe an eine Datei zu senden, die Output.txt heißt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Notiz
Um diesem Schritt zu folgen, müssen Sie das Befehlszeilentool Certutil installiert haben.
Öffnen Sie die Output.txt Datei, und suchen Sie dann nach Fehlern.
Schritt 2: Überprüfen des Clientauthentifizierungszertifikats
In einigen Fällen verwendet LDAPS ein Clientauthentifizierungszertifikat, wenn es auf dem Clientcomputer verfügbar ist. Wenn ein solches Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:
Die erweiterte Schlüsselverwendungserweiterung enthält den Clientauthentifizierungsobjektbezeichner (1.3.6.1.5.5.7.3.2).
Der zugeordnete private Schlüssel ist auf dem Clientcomputer verfügbar. Verwenden Sie den
certutil -verifykeys
Befehl, um zu überprüfen, ob der Schlüssel verfügbar ist.Die Zertifikatkette ist auf dem Domänencontroller gültig. Führen Sie die folgenden Schritte aus, um zu ermitteln, ob das Zertifikat gültig ist:
Verwenden Sie auf dem Clientcomputer das Zertifikat-Snap-In, um das SSL-Zertifikat in eine Datei zu exportieren, die Clientssl.cer heißt.
Kopieren Sie die Clientssl.cer Datei auf den Server.
Öffnen Sie auf dem Server ein Eingabeaufforderungsfenster.
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe an eine Datei zu senden, die Outputclient.txt heißt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
Öffnen Sie die Outputclient.txt Datei, und suchen Sie dann nach Fehlern.
Schritt 3: Überprüfen auf mehrere SSL-Zertifikate
Ermitteln Sie, ob mehrere SSL-Zertifikate die Anforderungen erfüllen, die in Schritt 1 beschrieben werden. Schannel (der Microsoft SSL-Anbieter) wählt das erste gültige Zertifikat aus, das Schannel im Lokalen Computerspeicher findet. Wenn mehrere gültige Zertifikate im Lokalen Computerspeicher verfügbar sind, wählt Schannel möglicherweise nicht das richtige Zertifikat aus. Ein Konflikt mit einem Zertifizierungsstellenzertifikat kann auftreten, wenn die Zertifizierungsstelle auf einem Domänencontroller installiert ist, auf den Sie über LDAPS zugreifen möchten.
Schritt 4: Überprüfen der LDAPS-Verbindung auf dem Server
Verwenden Sie das tool Ldp.exe auf dem Domänencontroller, um mithilfe von Port 636 eine Verbindung mit dem Server herzustellen. Wenn Sie keine Verbindung mit dem Server mithilfe von Port 636 herstellen können, sehen Sie sich die Fehler an, die Ldp.exe generiert. Zeigen Sie außerdem die Ereignisanzeige Protokolle an, um Fehler zu finden. Weitere Informationen zur Verwendung von Ldp.exe für die Verbindung mit Port 636 finden Sie unter How to enable LDAP over SSL with a third-party certification authority.
Schritt 5: Aktivieren der Schannel-Protokollierung
Aktivieren Sie die Schannel-Ereignisprotokollierung auf dem Server und auf dem Clientcomputer. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung finden Sie unter Aktivieren der Schannel-Ereignisprotokollierung in Windows und Windows Server.
Notiz
Wenn Sie SSL-Debugging auf einem Computer ausführen müssen, auf dem Microsoft Windows NT 4.0 ausgeführt wird, müssen Sie eine Schannel.dll Datei für das installierte Windows NT 4.0 Service Pack verwenden und dann einen Debugger mit dem Computer verbinden. Schannel-Protokollierung sendet nur die Ausgabe an einen Debugger in Windows NT 4.0.