Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les étapes à suivre pour résoudre les problèmes de connexion LDAP via SSL (LDAPS).
S’applique à : Windows Server 2016, Windows Server 2019, Windows Server 2022
Numéro de base de connaissances d’origine : 938703
Étape 1 : Vérifier le certificat d’authentification du serveur
Vérifiez que le certificat d’authentification du serveur que vous utilisez répond aux exigences suivantes :
Le nom de domaine complet Active Directory du contrôleur de domaine apparaît à l’un des emplacements suivants :
- Nom commun (CN) dans le champ Objet .
- Extension SAN (Subject Alternative Name) dans l’entrée DNS.
L’extension d’utilisation améliorée de la clé inclut l’identificateur d’objet Server Authentication (1.3.6.1.5.5.7.3.1).
La clé privée associée est disponible sur le contrôleur de domaine. Pour vérifier que la clé est disponible, utilisez la
certutil -verifykeyscommande.La chaîne de certificats est valide sur l’ordinateur client. Pour déterminer si le certificat est valide, procédez comme suit :
Sur le contrôleur de domaine, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Serverssl.cer.
Copiez le fichier Serverssl.cer sur l’ordinateur client.
Sur l’ordinateur client, ouvrez une fenêtre d’invite de commandes.
À l’invite de commandes, tapez la commande suivante pour envoyer la sortie de la commande à un fichier nommé Output.txt :
certutil -v -urlfetch -verify serverssl.cer > output.txtNote
Pour suivre cette étape, vous devez installer l’outil en ligne de commande Certutil.
Ouvrez le fichier Output.txt, puis recherchez des erreurs.
Étape 2 : Vérifier le certificat d’authentification du client
Dans certains cas, LDAPS utilise un certificat d’authentification client s’il est disponible sur l’ordinateur client. Si un tel certificat est disponible, assurez-vous que le certificat répond aux exigences suivantes :
L’extension d’utilisation améliorée de la clé inclut l’identificateur d’objet d’authentification client (1.3.6.1.5.5.7.3.2).
La clé privée associée est disponible sur l’ordinateur client. Pour vérifier que la clé est disponible, utilisez la
certutil -verifykeyscommande.La chaîne de certificats est valide sur le contrôleur de domaine. Pour déterminer si le certificat est valide, procédez comme suit :
Sur l’ordinateur client, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Clientssl.cer.
Copiez le fichier Clientssl.cer sur le serveur.
Sur le serveur, ouvrez une fenêtre d’invite de commandes.
À l’invite de commandes, tapez la commande suivante pour envoyer la sortie de la commande à un fichier nommé Outputclient.txt :
certutil -v -urlfetch -verify serverssl.cer > outputclient.txtOuvrez le fichier Outputclient.txt, puis recherchez des erreurs.
Étape 3 : Rechercher plusieurs certificats SSL
Déterminez si plusieurs certificats SSL répondent aux exigences décrites à l’étape 1. Schannel (le fournisseur Microsoft SSL) sélectionne le premier certificat valide trouvé par Schannel dans le magasin d’ordinateurs locaux. Si plusieurs certificats valides sont disponibles dans le magasin d’ordinateurs locaux, Schannel peut ne pas sélectionner le certificat approprié. Un conflit avec un certificat d’autorité de certification peut se produire si l’autorité de certification est installée sur un contrôleur de domaine que vous essayez d’accéder via LDAPS.
Étape 4 : Vérifier la connexion LDAPS sur le serveur
Utilisez l’outil Ldp.exe sur le contrôleur de domaine pour essayer de se connecter au serveur à l’aide du port 636. Si vous ne pouvez pas vous connecter au serveur à l’aide du port 636, consultez les erreurs générées par Ldp.exe. Affichez également les journaux de l’Observateur d’événements pour rechercher des erreurs. Pour plus d’informations sur l’utilisation de Ldp.exe pour vous connecter au port 636, consultez Comment activer LDAP via SSL avec une autorité de certification tierce.
Étape 5 : Activer la journalisation Schannel
Activez la journalisation des événements Schannel sur le serveur et sur l’ordinateur client. Pour plus d’informations sur l’activation de la journalisation des événements Schannel, consultez Comment activer la journalisation des événements Schannel dans Windows et Windows Server.
Note
Si vous devez effectuer le débogage SSL sur un ordinateur exécutant Microsoft Windows NT 4.0, vous devez utiliser un fichier Schannel.dll pour le Service Pack Windows NT 4.0 installé, puis connecter un débogueur à l’ordinateur. La journalisation Schannel envoie uniquement la sortie à un débogueur dans Windows NT 4.0.