我在Windows服务器(Windows Server 2008 R2)上安装了一个新的Active Directory。Windows服务器2008 R2 Active Directory无法启用LDAPS
对于端口389它工作正常。我需要使用LDAPS协议来修改其他系统的密码。
根据这篇文章https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority,唯一的办法是导入一个启用LDAPS的证书。
但是,当我导入SSL证书并重新启动域控制器时,我看不到端口636正在打开。
我的SSL证书由GeoTrust发布,并用于网站。网站域名与AD DS FQDN相同。我不确定是否可以。
我该如何检查有什么问题?
我将开始通过检查增强密钥使用的证书,确保服务器身份验证(1.3.6.1.5.5.7.3.1)是在增强的密钥使用。这可以通过打开证书并点击“详细信息”选项卡并滚动到“增强密钥使用”来完成
在域控制器上打开MMC并添加证书管理单元与本地计算机,并验证证书是否为在个人证书中。如果证书在那里,您可以在“常规”选项卡下双击证书,您是否在底部看到一行说明“您有与此证书相对应的私钥”?
当你说“我的大炮看到端口636正在打开”你怎么这么做?您是否在域控制器上运行netstat以查看服务器是否在列表中? 语法:netstat -an |找到“636” -a显示连接和侦听端口 -n显示IP
找到“636”是筛选端口636由于这是一个域控制器,你将有很多的连接。
另外,如果你有OpenSSL的访问,你可以试试下面的
语法:OpenSSL的的s_client.First -connect domain_controller_ip:636
如果证书正确配置和域的监听端口636/TCP。您将获得证书信息返回。
问题是证书不符。
我的AD域名是xyz.com,我以为我的证书Common Name应该是xyz.com,这是错误的。
证书的右边Common Name应该是Full computer name或Computer name + Domain。我的电脑名称是ad,那么我需要的Common Name是ad.xyz.com的证书。
是的,我确实使用'netstat'作为检查监听端口。我相信证书包括增强型密钥用法中的“服务器认证(1.3.6.1.5.5.7.3.1)”。 另一个警告信息是: * 安全套接字层(SSL)上的LDAP此时将不可用,因为服务器无法获取证书。 其他数据 错误值: 8009030e安全包中没有可用凭证 * –
谢谢,我解决了这个问题。 –
你有没有尝试远程登录到端口636上的域控制器?错误800903e,看起来像前端Web服务器需要一个SSL证书。 –