Problembehandlung bei LDAP-über-SSL-Verbindungsproblemen
- 08.09.2020
- 3 Minuten zu lesen
-
- D
- s
In diesem Artikel werden Schritte zur Behebung von Verbindungsproblemen mit LDAP over SSL (LDAPS) beschrieben.
Originalproduktversion: Windows Server 2003
Original-KB-Nummer: 938703
Schritt 1: Überprüfen Sie das Server-Authentifizierungszertifikat
Stellen Sie sicher, dass das verwendete Server-Authentifizierungszertifikat die folgenden Anforderungen erfüllt:
-
Der vollqualifizierte Active Directory-Domänenname des Domänencontrollers wird an einer der folgenden Stellen angezeigt:
- Der Common Name (CN) im Feld Subject.
- Die Subject Alternative Name (SAN)-Erweiterung im DNS-Eintrag.
-
Die erweiterte Schlüsselverwendungserweiterung enthält den Server Authentication Object Identifier (1.3.6.1.5.5.7.3.1).
-
Der zugehörige private Schlüssel ist auf dem Domänencontroller verfügbar. Um zu überprüfen, ob der Schlüssel verfügbar ist, verwenden Sie den Befehl
certutil -verifykeys
. -
Die Zertifikatskette ist auf dem Client-Computer gültig. Um festzustellen, ob das Zertifikat gültig ist, führen Sie die folgenden Schritte aus:
-
Exportieren Sie auf dem Domänencontroller mit dem Snap-In Zertifikate das SSL-Zertifikat in eine Datei mit dem Namen Serverssl.cer.
-
Kopieren Sie die Datei Serverssl.cer-Datei auf den Client-Computer.
-
Öffnen Sie auf dem Client-Computer ein Eingabeaufforderungsfenster.
-
Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe in eine Datei namens Output.txt:
certutil -v -urlfetch -verify serverssl.cer > output.txt
Hinweis
Um diesen Schritt ausführen zu können, muss das Befehlszeilentool Certutil installiert sein.
-
Öffnen Sie die Datei „Output.txt“, und suchen Sie dann nach Fehlern.
-
Schritt 2: Überprüfen Sie das Client-Authentifizierungszertifikat
In einigen Fällen verwendet LDAPS ein Client-Authentifizierungszertifikat, wenn es auf dem Client-Computer verfügbar ist. Wenn ein solches Zertifikat verfügbar ist, stellen Sie sicher, dass das Zertifikat die folgenden Anforderungen erfüllt:
-
Die erweiterte Schlüsselverwendungserweiterung enthält die Client-Authentifizierungsobjektkennung (1.3.6.1.5.5.7.3.2).
-
Der zugehörige private Schlüssel ist auf dem Client-Computer verfügbar. Um zu überprüfen, ob der Schlüssel verfügbar ist, verwenden Sie den Befehl
certutil -verifykeys
. -
Die Zertifikatskette ist auf dem Domänencontroller gültig. Gehen Sie folgendermaßen vor, um festzustellen, ob das Zertifikat gültig ist:
-
Auf dem Client-Computer exportieren Sie das SSL-Zertifikat mithilfe des Snap-Ins „Zertifikate“ in eine Datei mit dem Namen „Clientssl.cer“.
-
Kopieren Sie die Datei „Clientssl.cer“ auf den Server.
-
Auf dem Server öffnen Sie ein Eingabeaufforderungsfenster.
-
Geben Sie in der Eingabeaufforderung den folgenden Befehl ein, um die Befehlsausgabe in eine Datei mit dem Namen Outputclient.txt zu senden:
certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
-
Öffnen Sie die Datei Outputclient.txt-Datei und suchen Sie nach Fehlern.
-
Schritt 3: Prüfen Sie auf mehrere SSL-Zertifikate
Stellen Sie fest, ob mehrere SSL-Zertifikate die Anforderungen erfüllen, die in Schritt 1 beschrieben wurden. Schannel (der Microsoft SSL-Anbieter) wählt das erste gültige Zertifikat aus, das Schannel im Speicher des lokalen Computers findet. Wenn mehrere gültige Zertifikate im Speicher des lokalen Computers vorhanden sind, wählt Schannel möglicherweise nicht das richtige Zertifikat aus. Ein Konflikt mit einem Zertifikat einer Zertifizierungsstelle (CA) kann auftreten, wenn die CA auf einem Domänencontroller installiert ist, auf den Sie versuchen, über LDAPS zuzugreifen.
Schritt 4: Überprüfen Sie die LDAPS-Verbindung auf dem Server
Verwenden Sie das Tool „Ldp.exe“ auf dem Domänencontroller, um zu versuchen, über Port 636 eine Verbindung zum Server herzustellen. Wenn Sie über Port 636 keine Verbindung zum Server herstellen können, sehen Sie sich die Fehler an, die Ldp.exe erzeugt. Sehen Sie sich auch die Protokolle der Ereignisanzeige an, um Fehler zu finden. Weitere Informationen zur Verwendung von Ldp.exe für die Verbindung mit Port 636 finden Sie unter So aktivieren Sie LDAP über SSL mit einer Zertifizierungsstelle eines Drittanbieters.
Schritt 5: Aktivieren der Schannel-Protokollierung
Aktivieren Sie die Schannel-Ereignisprotokollierung auf dem Server und auf dem Client-Computer. Weitere Informationen zum Aktivieren der Schannel-Ereignisprotokollierung finden Sie unter So aktivieren Sie die Schannel-Ereignisprotokollierung in Windows und Windows Server.
Hinweis
Wenn Sie das SSL-Debugging auf einem Computer durchführen müssen, auf dem Microsoft Windows NT 4.0 läuft, müssen Sie eine Schannel.dll-Datei für das installierte Windows NT 4.0 Service Pack verwenden und dann einen Debugger an den Computer anschließen. Die Schannel-Protokollierung sendet nur Ausgaben an einen Debugger in Windows NT 4.0.