DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 938703 - Geändert am: Sonntag, 15. März 2015 - Version: 3.0

 

Auf dieser Seite

Einführung

Dieser Artikel beschreibt die Behandlung von LDAP über SSL (LDAPS) Verbindungsprobleme.

Weitere Informationen

Gehen Sie folgendermaßen vor, um LDAPS-Verbindungsprobleme zu beheben.

Schritt 1: Überprüfen Sie, ob das Zertifikat für die Serverauthentifizierung

Stellen Sie sicher, dass das Serverauthentifizierungszertifikat, mit denen Sie die folgenden Anforderungen erfüllt:
  • Der Active Directory vollständig qualifizierten Domänennamen des Domänencontrollers wird in einem der folgenden Speicherorte:
    • Der allgemeine Name (CN) im Feld Betreff
    • Die Erweiterung Subject Alternative Name (SAN) in der DNS-Eintrag
  • Die Erweiterung für die erweiterte Schlüsselverwendung enthält den Objektbezeichner Serverauthentifizierung (1.3.6.1.5.5.7.3.1).
  • Der zugeordnete private Schlüssel wird auf dem Domänencontroller zur Verfügung. Um sicherzustellen, dass der Schlüssel vorhanden ist, verwenden Sie die Certutil - verifykeys Befehl.
  • Die Zertifikatkette ist auf dem Clientcomputer gültig. Um festzustellen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Domänencontroller das Zertifikate-Snap-in, um das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer zu exportieren.
    2. Kopieren Sie die Datei Serverssl.cer auf dem Client-Computer.
    3. Öffnen Sie auf dem Client-Computer ein Eingabeaufforderungsfenster.
    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Ausgabe des Befehls an eine Datei senden, die Output.txt heißt:
      Certutil - V - Urlfetch-serverssl.cer überprüfen > output.txt
      Hinweis Wenn Sie dies tun, müssen Sie das Certutil-Befehlszeilentool installiert haben. Weitere Informationen über das Abrufen von Certutil und zum Verwenden von Certutil finden Sie auf der folgenden Microsoft-Website:
      Grundlegendes zur Wiederherstellung von Schlüsseln
      http://technet2.Microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Öffnen Sie die Datei "Output.txt", und suchen Sie nach Fehlern.

Schritt 2: Überprüfen Sie, ob das Client-Authentifizierungszertifikat

In einigen Fällen verwendet LDAPS ein Client-Authentifizierungszertifikat, wenn es auf dem Clientcomputer verfügbar ist. Wenn ein solches Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:
  • Die Erweiterung für die erweiterte Schlüsselverwendung enthält den Objektbezeichner Clientauthentifizierung (1.3.6.1.5.5.7.3.2).
  • Der zugeordnete private Schlüssel wird auf dem Client-Computer verfügbar. Um sicherzustellen, dass der Schlüssel vorhanden ist, verwenden Sie die Certutil - verifykeys Befehl.
  • Die Zertifikatkette ist auf dem Domänencontroller gültig. Um festzustellen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Clientcomputer das Zertifikate-Snap-in, um das SSL-Zertifikat in eine Datei mit dem Namen Clientssl.cer zu exportieren.
    2. Kopieren Sie die Datei Clientssl.cer auf den Server.
    3. Öffnen Sie auf dem Server ein Eingabeaufforderungsfenster.
    4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Ausgabe des Befehls in eine Datei mit dem Namen Outputclient.txt zu senden:
      Certutil - V - Urlfetch-serverssl.cer überprüfen > outputclient.txt
    5. Öffnen Sie die Datei Outputclient.txt, und suchen Sie nach Fehlern.

Schritt 3: Prüfen Sie, ob mehrere SSL-Zertifikate

Bestimmen Sie, ob mehrere SSL-Zertifikate die Anforderungen erfüllen, die in Schritt 1 beschrieben werden. Schannel (Microsoft-SSL-Anbieter) Wählt das erste gültige Zertifikat aus, dem Schannel in den Speicher des lokalen Computers sucht. Wenn mehrere gültige Zertifikate im Speicher lokalen Computers verfügbar sind, kann Schannel nicht das richtige Zertifikat auswählen. Ein Konflikt mit einem Zertifikat der Zertifizierungsstelle (CA) kann auftreten, wenn die Zertifizierungsstelle auf einem Domänencontroller installiert ist, die Sie über LDAPS zugreifen möchten.

Schritt 4: Überprüfen Sie, ob die LDAPS-Verbindung auf dem server

Verwenden Sie das Tool Ldp.exe auf dem Domänencontroller um zu versuchen, die Verbindung zum Server über Port 636. Wenn Sie mit dem Server verbinden können über Port 636, finden Sie die Fehler, die Ldp.exe generiert. Außerdem Anzeigen der Protokolle der Ereignisanzeige suchen Sie Fehler. Weitere Informationen dazu, wie Sie Ldp.exe verwenden, um eine Verbindung mit Port 636 klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
321051  (http://support.microsoft.com/kb/321051/ ) Gewusst wie: Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle

Schritt 5: Aktivieren der Schannel-Protokollierung

Schannel-Ereignisprotokollierung auf dem Server und auf dem Client-Computer zu aktivieren. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
260729  (http://support.microsoft.com/kb/260729/ ) Gewusst wie: Aktivieren Sie die Schannel-Protokollierung in IIS
Hinweis Haben Sie SSL auf einem Computer mit Microsoft Windows NT 4.0 Debuggen durchführen, müssen Sie eine Datei "Schannel.dll" für die installierten Servicepacks für Windows NT 4.0 verwenden und dann einen Debugger an den Computer anschließen. SChannel-Protokollierung sendet nur die Ausgabe an einen Debugger unter Windows NT 4.0.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store