DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 938703 - Última revisão: domingo, 15 de março de 2015 - Revisão: 3.0

 

Nesta página

INTRODUÇÃO

Este artigo descreve como solucionar problemas de LDAP sobre problemas de conexão de SSL (LDAPS).

Mais Informações

Para solucionar problemas de conexão LDAPS, execute as seguintes etapas.

Etapa 1: Verifique se o certificado de autenticação de servidor

Certifique-se de que o certificado de autenticação de servidor que você usa atende os seguintes requisitos:
  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio é exibido em um dos seguintes locais:
    • O nome comum (CN) no campo assunto
    • A extensão de nome alternativo da entidade (SAN) na entrada de DNS
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação de servidor (1.3.6.1.5.5.7.3.1).
  • A chave particular associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o Certutil - verifykeys comando.
  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, execute estas etapas:
    1. No controlador de domínio, use o snap-in de certificados para exportar o certificado SSL em um arquivo chamado Serverssl.cer.
    2. Copie o arquivo Serverssl.cer no computador cliente.
    3. No computador cliente, abra uma janela de Prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado txt:
      Certutil - v - urlfetch-verificar serverssl.cer > txt
      Observação: Para seguir esta etapa, você deve ter a ferramenta de linha de comando Certutil instalada. Para obter mais informações sobre como obter o Certutil e sobre como usar Certutil, visite o seguinte site da Microsoft:
      Noções básicas sobre recuperação de chave de usuário
      http://technet2.microsoft.com/WindowsServer/en/Library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Abra o arquivo txt e, em seguida, procurar por erros.

Etapa 2: Verifique se o certificado de autenticação de cliente

Em alguns casos, o LDAPS usa um certificado de autenticação do cliente se ele estiver disponível no computador cliente. Se esse certificado estiver disponível, certifique-se de que o certificado atende aos seguintes requisitos:
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação de cliente (1.3.6.1.5.5.7.3.2).
  • A chave particular associada está disponível no computador cliente. Para verificar se a chave está disponível, use o Certutil - verifykeys comando.
  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, execute estas etapas:
    1. No computador cliente, use o snap-in de certificados para exportar o certificado SSL em um arquivo chamado Clientssl.cer.
    2. Copie o arquivo Clientssl.cer para o servidor.
    3. No servidor, abra uma janela de Prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Outputclient.txt:
      Certutil - v - urlfetch-verificar serverssl.cer > outputclient.txt
    5. Abra o arquivo Outputclient.txt e procure por erros.

Etapa 3: Procurar vários certificados SSL

Determine se vários certificados SSL atender aos requisitos descritos na etapa 1. O Schannel (o provedor SSL da Microsoft) seleciona o primeiro certificado válido que localiza Schannel no armazenamento do computador Local. Se houver vários certificados válidos disponíveis no armazenamento do computador Local, o Schannel pode não selecionar o certificado correto. Se a autoridade de certificação estiver instalada em um controlador de domínio que você está tentando acessar por meio do LDAPS, poderá ocorrer um conflito com um certificado de autoridade de certificação.

Etapa 4: Verifique se a conexão LDAPS no servidor

Use a ferramenta de Ldp.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não pode se conectar ao servidor usando a porta 636, consulte os erros que gera Ldp.exe. Além disso, exiba os logs de Visualizar eventos para localizar erros. Para obter mais informações sobre como usar o Ldp.exe para se conectar à porta 636, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
321051  (http://support.microsoft.com/kb/321051/ ) Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

Etapa 5: Habilitar o log do Schannel

Ative o log de eventos Schannel no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos Schannel, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
260729  (http://support.microsoft.com/kb/260729/ ) Como ativar o log no IIS de eventos Schannel
Observação: Se você tiver que executar SSL depuração em um computador que esteja executando o Microsoft Windows NT 4.0, use um arquivo Schannel dll para o Windows NT 4.0 service pack instalado e, em seguida, conectar um depurador ao computador. O log SChannel apenas envia a saída para um depurador no Windows NT 4.0.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store