Question

我正在尝试在两个域控制器domainA.com和domainB.com之间配置LDAPS。我们配置了一种信任方式，以便domainB.com有权查看位于domainA.com的用户帐户。 DomainA.com拥有多个SSL证书：一个根证书，一个中间证书以及每个域控制器的多个证书。

我正在寻求有关完成该过程的步骤的反馈，因为在上传证书时，我感觉好像丢失了一些东西。我已经详细说明了下面的步骤。

根据我的研究，使我们能够通过LDAPS在这些控制器之间建立连接的过程是：

注意：第3-5步基于下面的链接文章

打开域控制器之间的端口（已完成）
建立一种信任的方式（完成）
从domainA.com域控制器导出证书（已完成）
将.cer文件加载到domainB.com并将其添加到Java密钥库（已完成）
使用ldp.exe工具建立636连接（失败）

我是Active Directory的新手，不熟悉如何启用LDAPS。在this article的LDAPS部分中，我执行了以下步骤以在domainB.com上配置LDAPS：

已安装的Active Directory证书服务和证书颁发机构
将来自domainA.com的.cer文件添加到domainB.com服务器的Java密钥库中
使用ldp.exe工具测试的连接（389（LDAP）连接成功，636（LDAPS）连接失败）

使用PortQryUI工具进行的附加验证检查显示域控制器之间的所有端口均已打开。

环境：AWS和本地

域控制器

domainA.com-内部AD域控制器（由其他人控制）

domainB.com-AWS AD域控制器（由我控制）

Answer 1

您要在其上进行测试的计算机必须信任该证书（“开始”菜单->“管理计算机证书”->“受信任的根证书颁发机构”）。如果我没记错的话，每次ldp.exe尝试连接时，事件查看器（系统日志）中都会出现错误，并由于证书错误而失败。

如果要测试证书是否受信任，可以使用this answer中的PowerShell来下载证书。只需使用https://domainA.com:636作为“网站”即可。

$webRequest = [Net.WebRequest]::Create("https://domainA.com:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "domainA.com.cer"

然后双击domainA.com.cer（在您碰巧运行此代码的任何文件夹中）进行查看。如果它不受信任，它将向您显示一个重大警告。您的目标是能够查看并说出它是受信任的。

受信任域之间的Active Directory LDAPS

1 个答案: