我在Windows服務器(Windows Server 2008 R2)上安裝了一個新的Active Directory。Windows服務器2008 R2 Active Directory無法啓用LDAPS
對於端口389它工作正常。我需要使用LDAPS協議來修改其他系統的密碼。
根據這篇文章https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority,唯一的辦法是導入一個啓用LDAPS的證書。
但是,當我導入SSL證書並重新啓動域控制器時,我看不到端口636正在打開。
我的SSL證書由GeoTrust發佈,並用於網站。網站域名與AD DS FQDN相同。我不確定是否可以。
我該如何檢查有什麼問題?
我將開始通過檢查增強密鑰使用的證書,確保服務器身份驗證(1.3.6.1.5.5.7.3.1)是在增強的密鑰使用。這可以通過打開證書並點擊「詳細信息」選項卡並滾動到「增強密鑰使用」來完成
在域控制器上打開MMC並添加證書管理單元與本地計算機,並驗證證書是否爲在個人證書中。如果證書在那裏,您可以在「常規」選項卡下雙擊證書,您是否在底部看到一行說明「您有與此證書相對應的私鑰」?
當你說「我的大炮看到端口636正在打開」你怎麼這麼做?您是否在域控制器上運行netstat以查看服務器是否在列表中? 語法:netstat -an |找到「636」 -a顯示連接和偵聽端口 -n顯示IP
找到「636」是篩選端口636由於這是一個域控制器,你將有很多的連接。
另外,如果你有OpenSSL的訪問,你可以試試下面的
語法:OpenSSL的的s_client.First -connect domain_controller_ip:636
如果證書正確配置和域的監聽端口636/TCP。您將獲得證書信息返回。
問題是證書不符。
我的AD域名是xyz.com,我以爲我的證書Common Name應該是xyz.com,這是錯誤的。
證書的右邊Common Name應該是Full computer name或Computer name + Domain。我的電腦名稱是ad,那麼我需要的Common Name是ad.xyz.com的證書。
是的,我確實使用'netstat'作爲檢查監聽端口。我相信證書包括增強型密鑰用法中的「服務器認證(1.3.6.1.5.5.7.3.1)」。 另一個警告信息是: * 安全套接字層(SSL)上的LDAP此時將不可用,因爲服務器無法獲取證書。 其他數據 錯誤值: 8009030e安全包中沒有可用憑證 * –
謝謝,我解決了這個問題。 –
你有沒有嘗試遠程登錄到端口636上的域控制器?錯誤800903e,看起來像前端Web服務器需要一個SSL證書。 –