DetailPage-MSS-KB

知识库

文章编号: 938703 - 最后修改: 2008年1月23日 - 修订: 2.1

本页

简介

本文讨论如何解决通过 SSL 的 LDAP (LDAPS) 连接问题。

更多信息

要解决 LDAPS 连接问题,请按照下列步骤操作:

步骤 1:验证服务器身份验证证书

确保您使用的服务器身份验证证书满足下列要求:
  • 域控制器的 Active Directory 完全限定域名显示在以下任一位置:
    • “使用者”字段中的公用名 (CN)
    • DNS 项中的使用者备用名称 (SAN) 扩展
  • 增强的密钥用法扩展包括服务器身份验证对象标识符 (1.3.6.1.5.5.7.3.1)。
  • 相关联的私钥可用于域控制器。要验证该密钥是否可用,请使用 certutil -verifykeys 命令。
  • 证书链在客户端计算机上有效。要确定证书是否有效,请按照下列步骤操作:
    1. 在域控制器上,使用证书管理单元来将 SSL 证书导出到名为 Serverssl.cer 的文件。
    2. 将 Serverssl.cer 文件复制到客户端计算机。
    3. 在客户端计算机上,打开一个命令提示符窗口。
    4. 在命令提示符处,键入下面的命令以将命令输出发送到名为 Output.txt 的文件:
      certutil -v -urlfetch -verify serverssl.cer > output.txt
      注意:要按照此步骤进行操作,您必须安装 Certutil 命令行工具。有关如何获取 Certutil 及如何使用 Certutil 的更多信息,请访问下面的 Microsoft 网站:
      了解用户密钥恢复
      http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/en/library/237d6abc-d0c0-454a-9b72-e3955664e3d31033.mspx?mfr=true)

      如何在非 Windows Server 2003 的计算机上使用最新版本的 Certutil
      http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.mspx#EBCBG (http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/security/webenroll.mspx#EBCBG)
    5. 打开 Output.txt 文件,然后搜索错误。

步骤 2:验证客户端身份验证证书

在某些情况下,如果客户端计算机上提供了客户端身份验证证书,则 LDAPS 会使用该证书。如果存在上述证书,请确保该证书符合以下要求:
  • 增强的密钥用法扩展包括客户端身份验证对象标识符 (1.3.6.1.5.5.7.3.2)。
  • 相关联的私钥可用于该客户端计算机。要验证该密钥是否可用,请使用 certutil -verifykeys 命令。
  • 证书链在域控制器上有效。要确定证书是否有效,请按照下列步骤操作:
    1. 在客户端计算机上,使用证书管理单元将 SSL 证书导出到名为 Clientssl.cer 的文件。
    2. 将 Clientssl.cer 文件复制到服务器。
    3. 在服务器上,打开一个命令提示符窗口。
    4. 在命令提示符处,键入下面的命令以将命令输出发送到名为 Outputclient.txt 的文件:
      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
    5. 打开 Outputclient.txt 文件,然后搜索错误。

步骤 3:检查多个 SSL 证书

确定多个 SSL 证书是否满足步骤 1 中介绍的要求。Schannel(Microsoft SSL 提供程序)会选择 Schannel 在本地计算机存储中找到的第一个有效证书。如果本地计算机存储中提供了多个有效证书,则 Schannel 可能无法选择正确的证书。如果 CA 安装在您正在尝试通过 LDAPS 访问的域控制器上,则可能会与证书颁发机构 (CA) 证书发生冲突。

步骤 4:验证服务器上的 LDAPS 连接

使用域控制器上的 Ldp.exe 工具尝试采用端口 636 连接到服务器。如果无法使用端口 636 连接到服务器,请参见 Ldp.exe 生成的错误。此外,请查看事件查看器来查找错误。 有关如何使用 Ldp.exe 连接到端口 636 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
321051  (http://support.microsoft.com/kb/321051/ ) 如何通过第三方证书颁发机构启用通过 SSL 的 LDAP

步骤 5:启用 Schannel 日志

在服务器和客户端计算机上启用 Schannel 事件日志。 有关如何启用 Schannel 事件日志的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260729  (http://support.microsoft.com/kb/260729/ ) 如何在 IIS 中启用 Schannel 事件日志
注意:如果您必须在运行 Microsoft Windows NT 4.0 的计算机上执行 SSL 调试,则必须对安装的 Windows NT 4.0 Service Pack 使用 Schannel.dll 文件,然后将调试程序连接到该计算机。在 Windows NT 4.0 中,Schannel 日志只将输出内容发送到调试程序。

这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
关键字: 
kbhowto kbinfo kbexpertiseadvanced KB938703
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
其他支持选项
Microsoft Community 支持论坛
直接联系我们
查找 Microsoft 认证合作伙伴
Microsoft 商店
关注我们: