Ereignis-ID 36884, wenn Sie versuchen, eine Verbindung mit einem LDAPS-Server herzustellen
In diesem Artikel wird beschrieben, wie Sie das Problem mit der Ereignis-ID 36884 behandeln, das beim Erstellen einer LDAP-Verbindung (Lightweight Directory Access Protocol) auftritt.
Problemszenario und Ereignisprotokoll
Stellen Sie sich folgendes Szenario vor:
- Sie haben ein Zertifikat auf einem LDAPS-Verbindungspunkt installiert.
- Das Zertifikat weist die folgenden Merkmale auf:
- Betrifft: ldap.contoso.com
- Alternativer Antragstellername (Subject Alternate Name, SAN): ldap.contoso.com
- Auf dem DNS-Server haben Sie die folgenden Einträge:
- ldap.contoso.com CNAME-myldapserver.contoso.com
- myldapserver.contoso.com HOST 10.0.0.1
Wenn Sie versuchen, eine Verbindung mit dem LDAPS-Verbindungspunkt herzustellen, wird die Verbindung getrennt, und Sie erhalten die Ereignis-ID 36884.
Log Name: System
Source: Schannel
Date: <date_and_time>
Event ID: 36884
Task Category: None
Level: Error
Keywords:
User: CONTOSO\<user_name>
Computer: <computer_name>
Description:
The certificate received from the remote server does not contain the expected name. It is therefore not possible to determine whether we are connecting to the correct server. The server name we were expecting is <computer_name>. The TLS connection request has failed. The attached data contains the server certificate.
The SSPI client process is ldp (PID: 5148).
Ursache
LDAPS sucht nach myldapserver.contoso.com, die diesem zugeordnet werden sollen. Myldapserver.contoso.com wird jedoch nicht von den SAN-Einträgen abgedeckt. Aus diesem Grund wird keine Übereinstimmung mit dem Servernamen hergestellt, und die Verbindung wird getrennt.
Beheben des Problems
Verwenden Sie eine der folgenden Lösungen, um dieses Problem zu beheben:
Verwenden Sie zusätzliche SAN(s), um die aufgelösten HOST-Namen im Zertifikat abzudecken.
Verwenden Sie einen HOST-Eintrag in DNS anstelle des CNAME-Eintrags.
Konfigurieren Sie den folgenden Registrierungswert auf dem Client, um den CNAME für den Servernamenvergleich zu verwenden.
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
- Starten Sie den Registrierungs-Editor.
- Suchen Sie den folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LDAP - Erstellen Sie einen neuen REG_DWORD Wert namens UseHostnameAsAlias, und legen Sie den Wert auf einen anderen Wert als 0 (null) fest.
- Beenden Sie den Registrierungs-Editor, und starten Sie den Computer anschließend neu.
Nachdem der Registrierungswert konfiguriert wurde, verwendet der Clientcomputer ldap.contoso.com, um die Übereinstimmung zu treffen. Sie wird durch die Zertifikats-SANs abgedeckt, sodass die Verbindung zulässig ist.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für