Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de stappen beschreven voor het oplossen van problemen met LDAP-verbindingen via SSL (LDAPS).
Van toepassing op: Windows Server 2016, Windows Server 2019, Windows Server 2022
Oorspronkelijk KB-nummer: 938703
Stap 1: Het serververificatiecertificaat controleren
Zorg ervoor dat het serververificatiecertificaat dat u gebruikt voldoet aan de volgende vereisten:
De Fully Qualified Domain Name van de domeincontroller van Active Directory wordt weergegeven op een van de volgende locaties:
- De algemene naam (CN) in het veld Onderwerp .
- De SAN-extensie (Subject Alternative Name) in de DNS-vermelding.
De extensie voor uitgebreid sleutelgebruik bevat de object-id serververificatie (1.3.6.1.5.5.7.3.1).
De bijbehorende persoonlijke sleutel is beschikbaar op de domeincontroller. Gebruik de
certutil -verifykeysopdracht om te controleren of de sleutel beschikbaar is.De certificaatketen is geldig op de clientcomputer. Voer de volgende stappen uit om te bepalen of het certificaat geldig is:
Gebruik op de domeincontroller de module Certificaten om het SSL-certificaat te exporteren naar een bestand met de naam Serverssl.cer.
Kopieer het Serverssl.cer bestand naar de clientcomputer.
Open een opdrachtpromptvenster op de clientcomputer.
Typ bij de opdrachtprompt de volgende opdracht om de opdrachtuitvoer te verzenden naar een bestand met de naam Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txtNotitie
Als u deze stap wilt volgen, moet het opdrachtregelprogramma Certutil zijn geïnstalleerd.
Open het bestand Output.txt en zoek vervolgens naar fouten.
Stap 2: Het certificaat voor clientverificatie controleren
In sommige gevallen gebruikt LDAPS een clientverificatiecertificaat als het beschikbaar is op de clientcomputer. Als een dergelijk certificaat beschikbaar is, moet u ervoor zorgen dat het certificaat voldoet aan de volgende vereisten:
De extensie voor uitgebreid sleutelgebruik bevat de object-id clientverificatie (1.3.6.1.5.5.7.3.2).
De bijbehorende persoonlijke sleutel is beschikbaar op de clientcomputer. Gebruik de
certutil -verifykeysopdracht om te controleren of de sleutel beschikbaar is.De certificaatketen is geldig op de domeincontroller. Voer de volgende stappen uit om te bepalen of het certificaat geldig is:
Gebruik de module Certificaten op de clientcomputer om het SSL-certificaat te exporteren naar een bestand met de naam Clientssl.cer.
Kopieer het Clientssl.cer bestand naar de server.
Open op de server een opdrachtpromptvenster.
Typ bij de opdrachtprompt de volgende opdracht om de opdrachtuitvoer te verzenden naar een bestand met de naam Outputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txtOpen het Outputclient.txt-bestand en zoek vervolgens naar fouten.
Stap 3: Controleren op meerdere SSL-certificaten
Bepaal of meerdere SSL-certificaten voldoen aan de vereisten die worden beschreven in stap 1. Schannel (de Microsoft SSL-provider) selecteert het eerste geldige certificaat dat Schannel vindt in het archief lokale computer. Als er meerdere geldige certificaten beschikbaar zijn in het archief lokale computer, selecteert Schannel mogelijk niet het juiste certificaat. Er kan een conflict optreden met een CA-certificaat (certificeringsinstantie) als de CA is geïnstalleerd op een domeincontroller die u probeert te openen via LDAPS.
Stap 4: De LDAPS-verbinding op de server controleren
Gebruik het hulpprogramma Ldp.exe op de domeincontroller om verbinding te maken met de server via poort 636. Als u geen verbinding kunt maken met de server via poort 636, raadpleegt u de fouten die Ldp.exe genereert. Bekijk ook de Logboeken logboeken om fouten te vinden. Zie LDAP inschakelen via SSL met een externe certificeringsinstantie voor meer informatie over het gebruik van Ldp.exe om verbinding te maken met poort 636.
Stap 5: Schannel-logboekregistratie inschakelen
Schakel logboekregistratie van Schannel-gebeurtenissen in op de server en op de clientcomputer. Zie Logboekregistratie van Schannel-gebeurtenissen inschakelen in Windows en Windows Server voor meer informatie over het inschakelen van logboekregistratie van Schannel-gebeurtenissen.
Notitie
Als u SSL-foutopsporing moet uitvoeren op een computer waarop Microsoft Windows NT 4.0 wordt uitgevoerd, moet u een Schannel.dll-bestand gebruiken voor het geïnstalleerde Windows NT 4.0-servicepack en vervolgens een foutopsporingsprogramma verbinden met de computer. Schannel-logboekregistratie verzendt alleen uitvoer naar een foutopsporingsprogramma in Windows NT 4.0.