SSL 接続に関する LDAP の問題のトラブルシューティング

  • [アーティクル]

この記事では、SSL 経由の LDAP (LDAPS) 接続の問題をトラブルシューティングする方法について説明します。

適用対象: Windows Server 2003
元の KB 番号: 938703

手順 1: サーバー認証証明書を確認する

使用するサーバー認証証明書が次の要件を満たしていることを確認します。

  • ドメイン コントローラーの Active Directory 完全修飾ドメイン名は、次のいずれかの場所に表示されます。

    • [件名] フィールドの共通名 (CN)。
    • DNS エントリのサブジェクト代替名 (SAN) 拡張機能。

  • 強化されたキー使用法拡張機能には、サーバー認証オブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれます。

  • 関連付けられている秘密キーは、ドメイン コントローラーで使用できます。 キーが使用可能であることを確認するには、コマンドを certutil -verifykeys 使用します。

  • 証明書チェーンは、クライアント コンピューターで有効です。 証明書が有効かどうかを確認するには、次の手順に従います。

    1. ドメイン コントローラーで、証明書スナップインを使用して、SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。

    2. Serverssl.cer ファイルをクライアント コンピューターにコピーします。

    3. クライアント コンピューターで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutput.txtという名前 のファイルに 送信します。

      certutil -v -urlfetch -verify serverssl.cer > output.txt

      注:

      この手順に従うには、Certutil コマンド ライン ツールがインストールされている必要があります。

    5. Output.txt ファイルを開き、エラーを検索します。

手順 2: クライアント認証証明書を確認する

場合によっては、LDAPS はクライアント コンピューターで使用できる場合、クライアント認証証明書を使用します。 このような証明書を使用できる場合は、証明書が次の要件を満たしていることを確認します。

  • 強化されたキー使用法拡張機能には、クライアント認証オブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれます。

  • 関連付けられている秘密キーは、クライアント コンピューターで使用できます。 キーが使用可能であることを確認するには、コマンドを certutil -verifykeys 使用します。

  • 証明書チェーンはドメイン コントローラーで有効です。 証明書が有効かどうかを確認するには、次の手順に従います。

    1. クライアント コンピューターで、証明書スナップインを使用して、SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。

    2. Clientssl.cer ファイルをサーバーにコピーします。

    3. サーバーで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutputclient.txtという名前 のファイルに 送信します。

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt

    5. Outputclient.txt ファイルを開き、エラーを検索します。

手順 3: 複数の SSL 証明書を確認する

複数の SSL 証明書が 、手順 1 で説明されている要件を満たしているかどうかを確認します。 Schannel (Microsoft SSL プロバイダー) は、Schannel がローカル コンピューター ストアで見つける最初の有効な証明書を選択します。 ローカル コンピューター ストアで複数の有効な証明書を使用できる場合、Schannel は正しい証明書を選択できない可能性があります。 CA が LDAPS 経由でアクセスしようとしているドメイン コントローラーにインストールされている場合、証明機関 (CA) 証明書との競合が発生する可能性があります。

手順 4: サーバー上の LDAPS 接続を確認する

ドメイン コントローラーのLdp.exe ツールを使用して、ポート 636 を使用してサーバーへの接続を試みます。 ポート 636 を使用してサーバーに接続できない場合は、Ldp.exe生成されるエラーを確認してください。 また、イベント ビューアー ログを表示してエラーを見つけます。 Ldp.exeを使用してポート 636 に接続する方法の詳細については、「 サードパーティの証明機関で SSL 経由で LDAP を有効にする方法」を参照してください。

手順 5: Schannel ログを有効にする

サーバーとクライアント コンピューターで Schannel イベント ログを有効にします。 Schannel イベント ログを有効にする方法の詳細については、「 Windows と Windows Server で Schannel イベント ログを有効にする方法」を参照してください

注:

Microsoft Windows NT 4.0 を実行しているコンピューターで SSL デバッグを実行する必要がある場合は、インストールされているWindows NT 4.0 サービス パックのSchannel.dll ファイルを使用してから、デバッガーをコンピューターに接続する必要があります。 Schannel ログは、Windows NT 4.0 のデバッガーにのみ出力を送信します。