DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 938703 - Dernière mise à jour: dimanche 28 avril 2013 - Version: 6.0

 

Sommaire

INTRODUCTION

Cet article explique comment résoudre les problèmes de connexion de LDAP sur SSL (LDAPS).

Plus d'informations

Pour résoudre les problèmes de connexion LDAPS, procédez comme suit.

Étape 1: Vérifiez le certificat d'authentification serveur

Assurez-vous que le certificat de l'authentification du serveur que vous utilisez répond aux exigences suivantes :
  • Le nom de domaine pleinement qualifié de Active Directory du contrôleur de domaine s'affiche dans un des emplacements suivants :
    • Le nom commun (CN) dans le champ objet
    • L'extension de nom de lieu sujet (SAN) dans l'entrée DNS
  • L'extension de l'utilisation de clé améliorée inclut l'identificateur d'objet authentification du serveur (1.3.6.1.5.5.7.3.1).
  • La clé privée associée est disponible sur le contrôleur de domaine. Pour vérifier que la clé est disponible, utilisez le certutil - verifykeys commande.
  • La chaîne de certificats est valide sur l'ordinateur client. Pour déterminer si le certificat est valide, procédez comme suit :
    1. Sur le contrôleur de domaine, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Serverssl.cer.
    2. Copiez le fichier Serverssl.cer sur l'ordinateur client.
    3. Sur l'ordinateur client, ouvrez une fenêtre d'invite de commande.
    4. À l'invite de commandes, tapez la commande suivante pour envoyer la sortie de commande dans un fichier nommé Output.txt :
      certutil - v - urlfetch-Vérifiez serverssl.cer > output.txt
      Remarque : Pour suivre cette étape, vous devez disposer de l'outil de ligne de commande Certutil installé. Pour plus d'informations sur l'obtention de Certutil et l'utilisation de Certutil, visitez le site Web de Microsoft à l'adresse suivante :
      Présentation de la récupération de clé utilisateur
      http://technet2.Microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Ouvrez le fichier Output.txt et puis rechercher les erreurs.

Étape 2: Vérifier le certificat d'authentification du Client

Dans certains cas, LDAPS utilise un certificat d'authentification Client si elle est disponible sur l'ordinateur client. Si un tel certificat est disponible, assurez-vous que le certificat remplit les conditions suivantes :
  • L'extension de l'utilisation de clé améliorée inclut l'identificateur d'objet authentification du Client (1.3.6.1.5.5.7.3.2).
  • La clé privée associée est disponible sur l'ordinateur client. Pour vérifier que la clé est disponible, utilisez le certutil - verifykeys commande.
  • La chaîne de certificats est valide sur le contrôleur de domaine. Pour déterminer si le certificat est valide, procédez comme suit :
    1. Sur l'ordinateur client, utilisez le composant logiciel enfichable Certificats pour exporter le certificat SSL vers un fichier nommé Clientssl.cer.
    2. Copiez le fichier Clientssl.cer sur le serveur.
    3. Sur le serveur, ouvrez une fenêtre d'invite de commande.
    4. À l'invite de commandes, tapez la commande suivante pour envoyer la sortie de commande dans un fichier nommé Outputclient.txt :
      certutil - v - urlfetch-Vérifiez serverssl.cer > outputclient.txt
    5. Ouvrez le fichier Outputclient.txt et puis rechercher des erreurs.

Étape 3: Vérifier les certificats SSL multiples

Déterminez si plusieurs certificats SSL satisfont aux exigences décrites à l'étape 1. Schannel (le fournisseur SSL Microsoft) sélectionne le premier certificat valide Schannel se trouve dans le magasin ordinateur Local. Si plusieurs certificats valides sont disponibles dans le magasin ordinateur Local, Schannel ne peut pas sélectionner le certificat approprié. Un conflit avec un certificat d'autorité de certification peut se produire si l'autorité de certification est installée sur un contrôleur de domaine que vous essayez d'accéder via le protocole LDAPS.

Étape 4: Vérifiez la connexion LDAPS sur le serveur

Utilisez l'outil Ldp.exe sur le contrôleur de domaine pour tenter de se connecter au serveur en utilisant le port 636. Si vous ne pouvez pas vous connecter au serveur en utilisant le port 636, voir les erreurs qui génère de Ldp.exe. En outre, afficher les journaux de l'Observateur d'événements pour rechercher des erreurs. Pour plus d'informations sur l'utilisation de Ldp.exe pour vous connecter au port 636, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
321051  (http://support.microsoft.com/kb/321051/ ) Comment faire pour activer le protocole LDAP sur SSL avec une autorité de certification tierce

Étape 5: Activer la journalisation Schannel

Activer l'enregistrement des événements Schannel sur le serveur et sur l'ordinateur client. Pour plus d'informations sur comment faire pour activer l'enregistrement des événements Schannel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
260729  (http://support.microsoft.com/kb/260729/ ) Comment faire pour activer Schannel enregistrement des événements dans IIS
Remarque : Si vous devez effectuer un débogage SSL sur un ordinateur qui exécute Microsoft Windows NT 4.0, vous devez utiliser un fichier Schannel.dll pour Microsoft Windows NT 4.0 service pack installé et puis connecter un débogueur à l'ordinateur. La journalisation SChannel envoie uniquement la sortie à un débogueur dans Windows NT 4.0.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store