我在Windows服务器(Windows Server 2008 R2)上设置了新的Active Directory。
它适用于端口389.我需要使用LDAPS协议来修改其他系统的密码。
根据这篇文章https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority,唯一的事情就是导入一个启用LDAPS的证书。
但是当我导入SSL证书并重启域控制器时,我看不到端口636正在打开。
我的SSL证书由GeoTrust发布,用于网站。该网站的域名与AD DS FQDN相同。我不确定是不是。
如何查看问题所在?
答案 0 :(得分:1)
我首先检查证书增强密钥的使用情况,确保服务器身份验证(1.3.6.1.5.5.7.3.1)处于增强密钥用法中。这可以通过打开证书并单击“详细信息”选项卡并滚动到“增强型密钥用法”来完成
在域控制器上打开MMC并使用本地计算机添加证书管理单元,并验证证书是否在个人证书中。如果证书在那里,您可以双击常规选项卡下的证书,如果您在底部看到一行说明“您有一个与此证书对应的私钥。”?
当你说“我看到636号港口正在打开”时你是怎么做的?您是否在域控制器上运行netstat以查看服务器是否正在列出? 语法:netstat -an |找到“636” - 显示连接和监听端口 -n display ip
查找“636”将过滤端口636.因为这是一个域控制器,您将拥有大量连接。
此外,如果您有权访问openssl,可以尝试以下
语法:openssl s_client -connect domain_controller_ip:636
如果证书配置正确且域正在侦听端口636 / tcp。您将获得证书信息返回。
答案 1 :(得分:0)
问题是证书不匹配。
我的AD域名是xyz.com,我认为我的证书Common Name应该是xyz.com,这是错误的。
证书的右Common Name应为Full computer name或Computer name + Domain。我的计算机名称为ad,然后我需要证书的Common Name为ad.xyz.com。