Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment résoudre le problème d’ID d’événement 36884 qui se produit lorsque vous essayez de créer une connexion LDAP (Lightweight Directory Access Protocol).
Scénario de problème et journal des événements
Examinez le cas suivant :
- Vous avez installé un certificat sur un point de connexion LDAPS.
- Le certificat présente les caractéristiques suivantes :
- Objet : ldap.contoso.com
- Autre nom de l’objet (SAN) : ldap.contoso.com
- Sur le serveur DNS, vous disposez des entrées suivantes :
- ldap.contoso.com myldapserver.contoso.com CNAME
- myldapserver.contoso.com HOST 10.0.0.1
Lorsque vous essayez de vous connecter au point de connexion LDAPS, la connexion est supprimée et vous recevez l’ID d’événement 36884.
Log Name: System
Source: Schannel
Date: <date_and_time>
Event ID: 36884
Task Category: None
Level: Error
Keywords:
User: CONTOSO\<user_name>
Computer: <computer_name>
Description:
The certificate received from the remote server does not contain the expected name. It is therefore not possible to determine whether we are connecting to the correct server. The server name we were expecting is <computer_name>. The TLS connection request has failed. The attached data contains the server certificate.
The SSPI client process is ldp (PID: 5148).
Cause
LDAPS recherche des myldapserver.contoso.com à y associer. Toutefois, myldapserver.contoso.com n’est pas couvert par les entrées SAN. Par conséquent, une correspondance de nom de serveur n’est pas établie et la connexion est supprimée.
Pour résoudre le problème
Pour résoudre ce problème, utilisez l’une des solutions suivantes :
Utilisez des SAN supplémentaires pour couvrir les noms d’hôtes résolus sur le certificat.
Utilisez un enregistrement HOST dans DNS au lieu de l’enregistrement CNAME.
Configurez la valeur de Registre suivante sur le client pour utiliser CNAME pour la comparaison des noms de serveur.
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour pallier à toute éventualité, sauvegardez le Registre avant de le modifier afin de pouvoir le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.
- Démarrez l'Éditeur du Registre.
- Recherchez la sous-clé suivante dans le Registre :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LDAP - Créez une valeur REG_DWORD nommée UseHostnameAsAlias et définissez la valeur sur n’importe quoi autre que zéro.
- Quittez l’Éditeur du Registre, puis redémarrez l’ordinateur.
Une fois la valeur de Registre configurée, l’ordinateur client utilise ldap.contoso.com pour faire la correspondance. Elle est couverte par les réseaux SAN de certificat, de sorte que la connexion est autorisée.