SSL 接続に関する LDAP の問題のトラブルシューティング

  • [アーティクル]

この記事では、SSL 経由の LDAP (LDAPS) 接続の問題のトラブルシューティング方法に関する手順について説明します。

適用対象: Windows Server 2003
元の KB 番号: 938703

手順 1: サーバー認証証明書を確認する

使用するサーバー認証証明書が次の要件を満たしていることを確認します。

  • ドメイン コントローラーの Active Directory 完全修飾ドメイン名は、次のいずれかの場所に表示されます。

    • [件名] フィールドの共通名 (CN)。
    • DNS エントリのサブジェクト代替名 (SAN) 拡張機能。

  • 拡張キー使用法拡張機能には、サーバー認証オブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれます。

  • 関連付けられている秘密キーは、ドメイン コントローラーで使用できます。 キーが使用可能であることを確認するには、 コマンドを certutil -verifykeys 使用します。

  • 証明書チェーンは、クライアント コンピューターで有効です。 証明書が有効かどうかを判断するには、次の手順に従います。

    1. ドメイン コントローラーで、証明書スナップインを使用して、SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。

    2. Serverssl.cer ファイルをクライアント コンピューターにコピーします。

    3. クライアント コンピューターで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutput.txtという名前 ファイルに送信します。

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      注:

      この手順に従うには、Certutil コマンド ライン ツールがインストールされている必要があります。

    5. Output.txt ファイルを開き、エラーを検索します。

手順 2: クライアント認証証明書を確認する

場合によっては、LDAPS はクライアント コンピューターで使用できる場合にクライアント認証証明書を使用します。 このような証明書が使用可能な場合は、証明書が次の要件を満たしていることを確認します。

  • 拡張キー使用法拡張機能には、クライアント認証オブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれます。

  • 関連付けられている秘密キーは、クライアント コンピューターで使用できます。 キーが使用可能であることを確認するには、 コマンドを certutil -verifykeys 使用します。

  • 証明書チェーンはドメイン コントローラーで有効です。 証明書が有効かどうかを判断するには、次の手順に従います。

    1. クライアント コンピューターで、[証明書] スナップインを使用して、SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。

    2. Clientssl.cer ファイルをサーバーにコピーします。

    3. サーバーで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutputclient.txtという名前 ファイルに送信します。

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Outputclient.txt ファイルを開き、エラーを検索します。

手順 3: 複数の SSL 証明書を確認する

手順 1 で説明されている要件を複数の SSL 証明書が満たしているかどうかを判断します。 Schannel (Microsoft SSL プロバイダー) は、Schannel がローカル コンピューター ストアで検出した最初の有効な証明書を選択します。 ローカル コンピューター ストアで複数の有効な証明書を使用できる場合、Schannel が正しい証明書を選択できない可能性があります。 証明機関 (CA) 証明書との競合は、LDAPS 経由でアクセスしようとしているドメイン コントローラーに CA がインストールされている場合に発生する可能性があります。

手順 4: サーバー上の LDAPS 接続を確認する

ドメイン コントローラーの Ldp.exe ツールを使用して、ポート 636 を使用してサーバーに接続します。 ポート 636 を使用してサーバーに接続できない場合は、Ldp.exe 生成されるエラーを参照してください。 また、イベント ビューアー ログを表示してエラーを見つけます。 Ldp.exe を使用してポート 636 に接続する方法の詳細については、「 サードパーティの証明機関で SSL 経由で LDAP を有効にする方法」を参照してください。

手順 5: Schannel ログを有効にする

サーバーとクライアント コンピューターで Schannel イベント ログを有効にします。 Schannel イベント ログを有効にする方法の詳細については、「 Windows および Windows Server で Schannel イベント ログを有効にする方法」を参照してください。

注:

Microsoft Windows NT 4.0 を実行しているコンピューターで SSL デバッグを実行する必要がある場合は、インストールされている Windows NT 4.0 Service Pack の Schannel.dll ファイルを使用してから、デバッガーをコンピューターに接続する必要があります。 Schannel ログは、Windows NT 4.0 のデバッガーにのみ出力を送信します。