Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье рассматриваются действия по устранению неполадок с подключением LDAP по протоколу SSL (LDAPS).
Область применения: Windows Server 2016, Windows Server 2019, Windows Server 2022
Исходный номер базы знаний: 938703
Шаг 1. Проверка сертификата проверки подлинности сервера
Убедитесь, что используемый сертификат проверки подлинности сервера соответствует следующим требованиям:
Полное доменное имя контроллера домена Active Directory отображается в одном из следующих расположений:
- Общее имя (CN) в поле "Тема ".
- Расширение альтернативного имени субъекта (SAN) в записи DNS.
Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1).
Связанный закрытый ключ доступен на контроллере домена. Чтобы убедиться, что ключ доступен, используйте
certutil -verifykeysкоманду.Цепочка сертификатов допустима на клиентском компьютере. Чтобы определить, является ли сертификат допустимым, выполните следующие действия.
На контроллере домена используйте оснастку "Сертификаты" для экспорта SSL-сертификата в файл с именем Serverssl.cer.
Скопируйте файл Serverssl.cer на клиентский компьютер.
На клиентском компьютере откройте окно командной строки.
В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именем Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txtПримечание.
Чтобы выполнить этот шаг, необходимо установить средство командной строки Certutil.
Откройте файл Output.txt и выполните поиск ошибок.
Шаг 2. Проверка сертификата проверки подлинности клиента
В некоторых случаях LDAPS использует сертификат проверки подлинности клиента, если он доступен на клиентском компьютере. Если такой сертификат доступен, убедитесь, что сертификат соответствует следующим требованиям:
Расширение расширенного использования ключа включает идентификатор объекта проверки подлинности клиента (1.3.6.1.5.5.7.3.2).
Связанный закрытый ключ доступен на клиентском компьютере. Чтобы убедиться, что ключ доступен, используйте
certutil -verifykeysкоманду.Цепочка сертификатов допустима на контроллере домена. Чтобы определить, является ли сертификат допустимым, выполните следующие действия.
На клиентском компьютере используйте оснастку "Сертификаты" для экспорта SSL-сертификата в файл с именем Clientssl.cer.
Скопируйте файл Clientssl.cer на сервер.
На сервере откройте окно командной строки.
В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именем Outputclient.txt:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txtОткройте файл Outputclient.txt и выполните поиск ошибок.
Шаг 3. Проверка наличия нескольких SSL-сертификатов
Определите, соответствуют ли несколько SSL-сертификатов требованиям, описанным на шаге 1. Schannel (поставщик SSL Майкрософт) выбирает первый действительный сертификат, который Schannel находит в хранилище локальных компьютеров. Если в хранилище локальных компьютеров доступно несколько допустимых сертификатов, Schannel может не выбрать правильный сертификат. Конфликт с сертификатом центра сертификации (ЦС) может возникнуть, если ЦС установлен на контроллере домена, к которому вы пытаетесь получить доступ через LDAPS.
Шаг 4. Проверка подключения LDAPS на сервере
Используйте средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу с помощью порта 636. Если вы не можете подключиться к серверу с помощью порта 636, просмотрите ошибки, которые Ldp.exe создаются. Кроме того, просмотрите журналы Просмотр событий для поиска ошибок. Дополнительные сведения о том, как использовать Ldp.exe для подключения к порту 636, см. в статье "Как включить ПРОТОКОЛ LDAP через SSL с помощью стороннего центра сертификации".
Шаг 5. Включение ведения журнала Schannel
Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Дополнительные сведения о включении ведения журнала событий Schannel см. в разделе "Как включить ведение журнала событий Schannel в Windows и Windows Server".
Примечание.
Если необходимо выполнить отладку SSL на компьютере под управлением Microsoft Windows NT 4.0, необходимо использовать файл Schannel.dll для установленного пакета обновления Windows NT 4.0, а затем подключить отладчик к компьютеру. Ведение журнала Schannel отправляет выходные данные только отладчику в Windows NT 4.0.