SSL 接続に関する LDAP の問題のトラブルシューティング
この記事では、SSL 経由の LDAP (LDAPS) 接続の問題のトラブルシューティング方法に関する手順について説明します。
適用対象: Windows Server 2003
元の KB 番号: 938703
手順 1: サーバー認証証明書を確認する
使用するサーバー認証証明書が次の要件を満たしていることを確認します。
ドメイン コントローラーの Active Directory 完全修飾ドメイン名は、次のいずれかの場所に表示されます。
- [件名] フィールドの共通名 (CN)。
- DNS エントリのサブジェクト代替名 (SAN) 拡張機能。
拡張キー使用法拡張機能には、サーバー認証オブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれます。
関連付けられている秘密キーは、ドメイン コントローラーで使用できます。 キーが使用可能であることを確認するには、 コマンドを
certutil -verifykeys
使用します。証明書チェーンは、クライアント コンピューターで有効です。 証明書が有効かどうかを判断するには、次の手順に従います。
ドメイン コントローラーで、証明書スナップインを使用して、SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。
Serverssl.cer ファイルをクライアント コンピューターにコピーします。
クライアント コンピューターで、コマンド プロンプト ウィンドウを開きます。
コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutput.txtという名前 の ファイルに送信します。
certutil -v -urlfetch -verify serverssl.cer > output.txt
注:
この手順に従うには、Certutil コマンド ライン ツールがインストールされている必要があります。
Output.txt ファイルを開き、エラーを検索します。
手順 2: クライアント認証証明書を確認する
場合によっては、LDAPS はクライアント コンピューターで使用できる場合にクライアント認証証明書を使用します。 このような証明書が使用可能な場合は、証明書が次の要件を満たしていることを確認します。
拡張キー使用法拡張機能には、クライアント認証オブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれます。
関連付けられている秘密キーは、クライアント コンピューターで使用できます。 キーが使用可能であることを確認するには、 コマンドを
certutil -verifykeys
使用します。証明書チェーンはドメイン コントローラーで有効です。 証明書が有効かどうかを判断するには、次の手順に従います。
クライアント コンピューターで、[証明書] スナップインを使用して、SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。
Clientssl.cer ファイルをサーバーにコピーします。
サーバーで、コマンド プロンプト ウィンドウを開きます。
コマンド プロンプトで、次のコマンドを入力して、コマンド出力をOutputclient.txtという名前 の ファイルに送信します。
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
Outputclient.txt ファイルを開き、エラーを検索します。
手順 3: 複数の SSL 証明書を確認する
手順 1 で説明されている要件を複数の SSL 証明書が満たしているかどうかを判断します。 Schannel (Microsoft SSL プロバイダー) は、Schannel がローカル コンピューター ストアで検出した最初の有効な証明書を選択します。 ローカル コンピューター ストアで複数の有効な証明書を使用できる場合、Schannel が正しい証明書を選択できない可能性があります。 証明機関 (CA) 証明書との競合は、LDAPS 経由でアクセスしようとしているドメイン コントローラーに CA がインストールされている場合に発生する可能性があります。
手順 4: サーバー上の LDAPS 接続を確認する
ドメイン コントローラーの Ldp.exe ツールを使用して、ポート 636 を使用してサーバーに接続します。 ポート 636 を使用してサーバーに接続できない場合は、Ldp.exe 生成されるエラーを参照してください。 また、イベント ビューアー ログを表示してエラーを見つけます。 Ldp.exe を使用してポート 636 に接続する方法の詳細については、「 サードパーティの証明機関で SSL 経由で LDAP を有効にする方法」を参照してください。
手順 5: Schannel ログを有効にする
サーバーとクライアント コンピューターで Schannel イベント ログを有効にします。 Schannel イベント ログを有効にする方法の詳細については、「 Windows および Windows Server で Schannel イベント ログを有効にする方法」を参照してください。
注:
Microsoft Windows NT 4.0 を実行しているコンピューターで SSL デバッグを実行する必要がある場合は、インストールされている Windows NT 4.0 Service Pack の Schannel.dll ファイルを使用してから、デバッガーをコンピューターに接続する必要があります。 Schannel ログは、Windows NT 4.0 のデバッガーにのみ出力を送信します。