DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 938703 - Geändert am: Montag, 13. August 2007 - Version: 2.2

 

Auf dieser Seite

EINFÜHRUNG

Dieser Artikel beschreibt die LDAP über SSL (LDAPS)-Verbindungsprobleme zu beheben.

Weitere Informationen

Gehen Sie folgendermaßen vor um LDAPS-Verbindungsprobleme zu beheben.

Schritt 1: Überprüfen des Zertifikats Serverauthentifizierung

Stellen Sie sicher, dass das Zertifikat Serverauthentifizierung, das Sie verwenden die folgenden Anforderungen erfüllt:
  • Der Active Directory fully qualified Domain Name des Domänencontrollers wird in einem der folgenden Speicherorte:
    • Allgemeiner Name (CN = Common Name) im Antragstellerfeld
    • Die Erweiterung Subject Alternative Name (SAN) in der DNS-Eintrag
  • Die Erweiterung "Erweiterte Schlüsselverwendung enthält den Objektbezeichner Serverauthentifizierung (1.3.6.1.5.5.7.3.1).
  • Der zugeordnete private Schlüssel ist auf dem Domänencontroller verfügbar. Verwenden Sie den Certutil - Verifykeys Befehl, um sicherzustellen, dass der Schlüssel verfügbar ist.
  • Die Zertifikatskette ist auf dem Clientcomputer gültig. Um zu bestimmen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Domänencontroller das Zertifikat-Snap-in So exportieren Sie das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer.
    2. Kopieren Sie die Serverssl.cer-Datei auf dem Clientcomputer.
    3. Öffnen Sie ein Eingabeaufforderungsfenster, auf dem Clientcomputer.
    4. Geben Sie an der Eingabeaufforderung die Ausgabe des Befehls an eine Datei senden, die mit dem Namen "Output.txt" Folgendes ein:
      Certutil - V - Urlfetch - serverssl.cer überprüfen > Ausgabe.txt
      Hinweis: Um diese Schritt zu folgen, müssen Sie das Certutil-Befehlszeilenprogramm installiert verfügen. Weitere Informationen dazu, wie Sie Certutil erhalten und Informationen zum Verwenden von Certutil der folgenden Microsoft-Website:
      Grundlegendes zur Schlüsselwiederherstellung für Benutzer
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Öffnen Sie die Datei "Output.txt", und suchen Sie nach Fehlern.

Schritt 2: Überprüfen des Zertifikats Clientauthentifizierung

In einigen Fällen verwendet LDAPS ein Zertifikats Clientauthentifizierung, wenn Sie auf dem Clientcomputer verfügbar ist. Wenn solche ein Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:
  • Die Erweiterung "Erweiterte Schlüsselverwendung enthält den Objektbezeichner Clientauthentifizierung (1.3.6.1.5.5.7.3.2).
  • Der zugeordnete private Schlüssel ist auf dem Clientcomputer verfügbar. Verwenden Sie den Certutil - Verifykeys Befehl, um sicherzustellen, dass der Schlüssel verfügbar ist.
  • Die Zertifikatskette ist auf dem Domänencontroller gültig. Um zu bestimmen, ob das Zertifikat gültig ist, gehen Sie folgendermaßen vor:
    1. Verwenden Sie auf dem Clientcomputer das Zertifikat-Snap-in So exportieren Sie das SSL-Zertifikat in eine Datei mit dem Namen Clientssl.cer.
    2. Kopieren Sie die Clientssl.cer-Datei an den Server.
    3. Öffnen Sie ein Eingabeaufforderungsfenster, auf dem Server.
    4. Geben Sie an der Eingabeaufforderung die Ausgabe des Befehls an eine Datei senden, die mit dem Namen Outputclient.txt Folgendes ein:
      Certutil - V - Urlfetch - serverssl.cer überprüfen > outputclient.txt
    5. Öffnen Sie die Datei Outputclient.txt, und suchen Sie nach Fehlern.

Schritt 3: Suchen nach mehrere SSL-Zertifikate

Bestimmen Sie, ob mehrere SSL-Zertifikate die Anforderungen erfüllen, die in Schritt 1 beschrieben werden. Schannel (Microsoft SSL-Anbieter) wählt das erste gültige Zertifikat, das SChannel in den Speicher Lokaler Computer findet. Wenn mehrere gültige Zertifikate in den Speicher Lokaler Computer verfügbar sind, kann Schannel nicht das richtige Zertifikat auswählen. Ein Konflikt mit einem Zertifikat der Zertifizierungsstelle (CA) kann auftreten, wenn die ZERTIFIZIERUNGSSTELLE auf einem Domänencontroller installiert ist, die Sie über LDAPS zugreifen möchten.

Schritt 4: Überprüfen Sie die LDAPS-Verbindung auf dem server

Verwenden Sie das Tool Ldp.exe auf dem Domänencontroller, um mithilfe von Anschluss 636 mit dem Server verbinden. Wenn Sie über den Port 636 keine Verbindung zum Server herstellen können, finden Sie Fehler, die Ldp.exe generiert. Zeigen Sie Protokoll der Ereignisanzeige nach Fehlern auch an. Weitere Informationen, wie Sie Ldp.exe, um eine Verbindung zu Port 636 herzustellen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
321051  (http://support.microsoft.com/kb/321051/ ) Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle

Schritt 5: Schannel-Protokollierung aktivieren

Aktivieren Sie Schannel-Ereignisprotokollierung auf dem Server und auf dem Clientcomputer. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
260729  (http://support.microsoft.com/kb/260729/ ) Zum Aktivieren der Schannel-Ereignisprotokollierung in IIS
Hinweis: Wenn Sie SSL auf einem Computer mit Microsoft Windows NT 4.0 Debuggen durchzuführen, müssen Sie eine Datei Schannel.dll für das installierte Windows NT 4.0 Service Pack verwenden und verbinden Sie einen Debugger mit dem Computer. SChannel-Protokollierung sendet nur die Ausgabe an einen Debugger in Windows NT 4.0.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: