我正在尝试在两个域控制器domainA.com和domainB.com之间配置LDAPS。我们配置了一种信任方式,以便domainB.com有权查看位于domainA.com的用户帐户。 DomainA.com拥有多个SSL证书:一个根证书,一个中间证书以及每个域控制器的多个证书。
我正在寻求有关完成该过程的步骤的反馈,因为在上传证书时,我感觉好像丢失了一些东西。我已经详细说明了下面的步骤。
根据我的研究,使我们能够通过LDAPS在这些控制器之间建立连接的过程是:
注意:第3-5步基于下面的链接文章
我是Active Directory的新手,不熟悉如何启用LDAPS。在this article的LDAPS部分中,我执行了以下步骤以在domainB.com上配置LDAPS:
使用PortQryUI工具进行的附加验证检查显示域控制器之间的所有端口均已打开。
环境:AWS和本地
域控制器
domainA.com-内部AD域控制器(由其他人控制)
domainB.com-AWS AD域控制器(由我控制)
答案 0 :(得分:1)
您要在其上进行测试的计算机必须信任该证书(“开始”菜单->“管理计算机证书”->“受信任的根证书颁发机构”)。如果我没记错的话,每次ldp.exe尝试连接时,事件查看器(系统日志)中都会出现错误,并由于证书错误而失败。
如果要测试证书是否受信任,可以使用this answer中的PowerShell来下载证书。只需使用https://domainA.com:636作为“网站”即可。
$webRequest = [Net.WebRequest]::Create("https://domainA.com:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "domainA.com.cer"
然后双击domainA.com.cer(在您碰巧运行此代码的任何文件夹中)进行查看。如果它不受信任,它将向您显示一个重大警告。您的目标是能够查看并说出它是受信任的。