DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 938703 - Última revisão: segunda-feira, 13 de agosto de 2007 - Revisão: 2.2

 

Nesta página

INTRODUÇÃO

Este artigo descreve como solucionar problemas de LDAP sobre problemas de conexão SSL (LDAP).

Mais Informações

Para solucionar problemas de conexão LDAPS, execute estas etapas.

Etapa 1: Verifique se o certificado de autenticação do servidor

Certifique-se que o certificado de autenticação do servidor que você use atende aos seguintes requisitos:
  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio aparece em um dos seguintes locais:
    • O nome comum (CN) no campo assunto
    • A extensão de nome de alternativo de assunto (SAN) na entrada de DNS
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação do servidor (1.3.6.1.5.5.7.3.1).
  • A chave particular associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o comando certutil - verifykeys .
  • A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, execute as seguintes etapas:
    1. No controlador de domínio, use o snap-in de certificados para exportar o certificado SSL para um arquivo chamado Serverssl.cer.
    2. Copie o arquivo Serverssl.cer para o computador cliente.
    3. No computador cliente, abra uma janela do prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Output.txt:
      certutil - v - urlfetch - verificar serverssl.cer > resultado.txt
      Observação Para seguir esta etapa, você deve ter a ferramenta de linha de comando Certutil instalada. Para obter mais informações sobre como obter o Certutil e sobre como usar Certutil, visite o seguinte site:
      Noções básicas sobre recuperação de chave de usuário
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

    5. Abra o arquivo output.txt e, em seguida, procurar por erros.

Etapa 2: Verifique se o certificado de autenticação de cliente

Em alguns casos, o LDAP usa um certificado autenticação de cliente se ele estiver disponível no computador cliente. Se um certificado estiver disponível, certifique-se de que o certificado atende aos seguintes requisitos:
  • A extensão de uso avançado de chave inclui o identificador de objeto de autenticação de cliente (1.3.6.1.5.5.7.3.2).
  • A chave particular associada está disponível no computador cliente. Para verificar se a chave está disponível, use o comando certutil - verifykeys .
  • A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, execute as seguintes etapas:
    1. No computador cliente, use o snap-in de certificados para exportar o certificado SSL para um arquivo chamado Clientssl.cer.
    2. Copie o arquivo Clientssl.cer para o servidor.
    3. No servidor, abra uma janela do prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Outputclient.txt:
      certutil - v - urlfetch - verificar serverssl.cer > outputclient.txt
    5. Abra o arquivo Outputclient.txt e, em seguida, procurar por erros.

Etapa 3: Procurar vários certificados SSL

Determine se vários certificados SSL atender os requisitos são descritos na etapa 1. Schannel (o provedor SSL da Microsoft) seleciona o primeiro certificado válido que Schannel localiza no armazenamento de computador local. Se houver vários certificados válidos no armazenamento de computador local, o Schannel não pode selecionar o certificado correto. Um conflito com um certificado de autoridade de certificação pode ocorrer se a CA é instalada em um controlador de domínio que você está tentando acessar por meio de LDAP.

Etapa 4: Verifique se a conexão LDAP no servidor

Use a ferramenta LDP.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não pode se conectar ao servidor usando a porta 636, ver os erros que gera LDP.exe. Também, exibir os logs de Visualizar eventos para localizar erros. Para obter mais informações sobre como usar o LDP.exe para se conectar à porta 636, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
321051  (http://support.microsoft.com/kb/321051/ ) Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

Etapa 5: Habilitar o log SChannel

Habilite o Schannel log de eventos no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos Schannel, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260729  (http://support.microsoft.com/kb/260729/ ) Como ativar o log no IIS de eventos Schannel
Observação Se você tiver executar SSL depuração em um computador que esteja executando o Microsoft Windows NT 4.0, você deve usar um arquivo Schannel.dll para o Windows NT 4.0 service pack instalado e conectar um depurador ao computador. Somente o log SChannel envia saída para um depurador no Windows NT 4.0.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB938703 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 938703  (http://support.microsoft.com/kb/938703/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft