Problemen met LDAP via SSL-verbinding oplossen
- 09/08/2020
- 3 minuten om te lezen
-
- D
- s
In dit artikel worden stappen besproken voor het oplossen van verbindingsproblemen met LDAP via SSL (LDAPS).
Oorspronkelijke productversie: Windows Server 2003
Oorspronkelijk KB-nummer: 938703
Stap 1: Verifieer het Server Authentication-certificaat
Zorg ervoor dat het Server Authentication-certificaat dat u gebruikt, voldoet aan de volgende vereisten:
- De Active Directory volledig gekwalificeerde domeinnaam van de domeincontroller staat op een van de volgende locaties:
- De gemeenschappelijke naam (CN) in het veld Subject.
- De extensie Subject Alternative Name (SAN) in de DNS-vermelding.
-
De extensie voor verbeterd sleutelgebruik bevat de objectidentifier Server Authentication (1.3.6.1.5.5.7.3.1).
-
De bijbehorende privésleutel is beschikbaar op de domeincontroller. Om te controleren of de sleutel beschikbaar is, gebruikt u het commando
certutil -verifykeys
. -
De certificaatketen is geldig op de clientcomputer. Om te bepalen of het certificaat geldig is, volgt u deze stappen:
-
Op de domeincontroller gebruikt u de snap-in Certificaten om het SSL-certificaat te exporteren naar een bestand met de naam Serverssl.cer.
-
Kopieer het bestand Serverssl.cer naar de clientcomputer.
-
Open de clientcomputer opent u een opdrachtpromptvenster.
-
Op de opdrachtprompt typt u de volgende opdracht om de opdrachtuitvoer naar een bestand met de naam Uitvoer te verzenden.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Opmerking
Om deze stap uit te voeren, moet u het Certutil-commandlinetool hebben geïnstalleerd.
-
Open het Output.txt-bestand en zoek vervolgens naar fouten.
-
Stap 2: Verifieer het Client Authentication-certificaat
In sommige gevallen gebruikt LDAPS een Client Authentication-certificaat als dit op de clientcomputer beschikbaar is. Als een dergelijk certificaat beschikbaar is, controleert u of het certificaat aan de volgende vereisten voldoet:
-
De uitbreiding voor verbeterd sleutelgebruik bevat de Client Authentication-objectidentifier (1.3.6.1.5.5.7.3.2).
-
De bijbehorende privésleutel is beschikbaar op de clientcomputer. Om te controleren of de sleutel beschikbaar is, gebruikt u het commando
certutil -verifykeys
. -
De certificaatketen is geldig op de domeincontroller. Om te bepalen of het certificaat geldig is, volgt u deze stappen:
-
Op de clientcomputer gebruikt u de snap-in Certificaten om het SSL-certificaat te exporteren naar een bestand met de naam Clientssl.cer.
-
Kopieer het bestand Clientssl.cer naar de server.
-
Op de server opent u een opdrachtpromptvenster.
- Typ op de opdrachtprompt de volgende opdracht om de opdrachtuitvoer naar een bestand met de naam Outputclient.txt te sturen:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
-
Open het bestand Outputclient.txt bestand, en zoek vervolgens naar fouten.
-
Stap 3: Controleer op meerdere SSL-certificaten
Stel vast of meerdere SSL-certificaten voldoen aan de eisen die in stap 1 zijn beschreven. Schannel (de Microsoft SSL provider) selecteert het eerste geldige certificaat dat Schannel vindt in de Local Computer store. Als er meerdere geldige certificaten beschikbaar zijn in de opslagruimte van de lokale computer, kan het zijn dat Schannel niet het juiste certificaat selecteert. Een conflict met een certificaat van een certificeringsinstantie (CA) kan optreden als de CA is geïnstalleerd op een domeincontroller die u probeert te benaderen via LDAPS.
Stap 4: Controleer de LDAPS-verbinding op de server
Gebruik het hulpprogramma Ldp.exe op de domeincontroller om te proberen verbinding te maken met de server door poort 636 te gebruiken. Als u geen verbinding kunt maken met de server door poort 636 te gebruiken, bekijk dan de fouten die Ldp.exe genereert. Bekijk ook de logboeken van Event Viewer om fouten te vinden. Voor meer informatie over hoe u Ldp.exe kunt gebruiken om verbinding te maken met poort 636, raadpleegt u Hoe LDAP over SSL inschakelen met een certificeringsinstantie van derden.
Stap 5: Schannel-logboekregistratie inschakelen
Schannel event-logboekregistratie inschakelen op de server en op de clientcomputer. Voor meer informatie over het inschakelen van Schannel-eventlogging, zie Hoe Schannel-eventlogging inschakelen in Windows en Windows Server.
Note
Als u SSL-debugging moet uitvoeren op een computer waarop Microsoft Windows NT 4.0 wordt uitgevoerd, moet u een Schannel.dll-bestand gebruiken voor het geïnstalleerde Windows NT 4.0-servicepack en vervolgens een debugger op de computer aansluiten. Schannel logging stuurt alleen uitvoer naar een debugger in Windows NT 4.0.