DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 938703 - Última revisão: domingo, 15 de Março de 2015 - Revisão: 3.0

 

Nesta página

INTRODUÇÃO

Este artigo explica como resolver problemas de LDAP sobre problemas de ligação de SSL (LDAPS).

Mais Informação

Para resolver problemas de ligação LDAPS, siga estes passos.

Passo 1: Verificar o certificado de autenticação de servidor

Certifique-se de que o certificado de autenticação de servidor que utiliza cumpre os seguintes requisitos:
  • Nome de domínio totalmente qualificado do Active Directory do controlador de domínio é apresentada das seguintes localizações:
    • O nome comum (CN) no campo assunto
    • A extensão de nome de alternativo de assunto (SAN) na entrada do DNS
  • A extensão de utilização de chave avançada inclui o identificador de objecto de autenticação de servidor (1.3.6.1.5.5.7.3.1).
  • A chave privada associada está disponível no controlador de domínio. Para verificar que a chave está disponível, utilize a certutil - verifykeys comando.
  • A cadeia de certificado é válida no computador cliente. Para determinar se o certificado é válido, siga estes passos:
    1. No controlador de domínio, utilize o snap-in certificados para exportar o certificado SSL para um ficheiro denominado Serverssl.cer.
    2. Copie o ficheiro de Serverssl.cer para o computador cliente.
    3. No computador cliente, abra uma janela de linha de comandos.
    4. Na linha de comandos, escreva o seguinte comando para enviar a saída do comando para um ficheiro denominado saída:
      certutil - v - urlfetch-Verifique se serverssl.cer > saída
      Nota Para seguir este passo, tem de ter a ferramenta da linha de comandos do Certutil instalada. Para mais informações sobre como obter o Certutil e sobre como utilizar o Certutil, visite o seguinte Web site da Microsoft:
      Noções sobre recuperação de chaves de utilizador
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Abra o ficheiro de saída e, em seguida, procure erros.

Passo 2: Verificar o certificado de autenticação de cliente

Em alguns casos, LDAPS utiliza um certificado de autenticação de cliente se estiver disponível no computador cliente. Se tal certificado estiver disponível, certifique-se de que o certificado cumpre os seguintes requisitos:
  • A extensão de utilização de chave avançada inclui o identificador de objecto de autenticação de cliente (1.3.6.1.5.5.7.3.2).
  • A chave privada associada está disponível no computador cliente. Para verificar que a chave está disponível, utilize a certutil - verifykeys comando.
  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estes passos:
    1. No computador cliente, utilize o snap-in certificados para exportar o certificado SSL para um ficheiro denominado Clientssl.cer.
    2. Copie o ficheiro Clientssl.cer para o servidor.
    3. No servidor, abra uma janela de linha de comandos.
    4. Na linha de comandos, escreva o seguinte comando para enviar a saída do comando para um ficheiro denominado Outputclient.txt:
      certutil - v - urlfetch-Verifique se serverssl.cer > outputclient.txt
    5. Abra o ficheiro Outputclient.txt e, em seguida, procure erros.

Passo 3: Verificar a existência de vários certificados SSL

Determine se múltiplos certificados SSL satisfazem os requisitos descritos no passo 1. Schannel (o fornecedor de SSL da Microsoft) selecciona o primeiro certificado válido que localiza Schannel no arquivo de computador Local. Se existirem vários certificados válidos no arquivo de computador Local, o Schannel não pode seleccionar o certificado correcto. Se a AC está instalada num controlador de domínio que está a tentar aceder através de LDAPS, poderá ocorrer um conflito com um certificado de autoridade (AC) de certificação.

Passo 4: Verifique a ligação de LDAPS no servidor

Utilize a ferramenta de Ldp.exe no controlador de domínio para tentar ligar ao servidor utilizando a porta 636. Se não conseguir ligar ao servidor utilizando a porta 636, consulte os erros que gera Ldp.exe. Além disso, consulte os registos de Visualizador de eventos para encontrar erros. Para mais informações sobre como utilizar Ldp.exe para ligar a porta 636, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
321051  (http://support.microsoft.com/kb/321051/ ) Como activar o LDAP sobre SSL com uma autoridade de certificação de terceiros

Passo 5: Activar o registo de Schannel

Active o registo de eventos do Schannel no servidor e no computador cliente. Para mais informações sobre como activar o registo de eventos Schannel, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
260729  (http://support.microsoft.com/kb/260729/ ) Como activar o registo no IIS de eventos de Schannel
Nota Se tiver de efectuar a depuração de SSL num computador que esteja a executar o Microsoft Windows NT 4.0, tem de utilizar um ficheiro Schannel. dll para o Windows NT 4.0 service pack instalado e, em seguida, ligar um depurador ao computador. Registo de Schannel só envia saída para um depurador do Windows NT 4.0.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbexpertiseadvanced kbhowto kbinfo kbmt KB938703 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft