LDAPS, перенаправляемый к 389

Я бы начал с проверки сертификата следующим образом.

Устранение проблем с подключением LDAP через SSL
http://support.microsoft.com/kb/938703

Шаг 1. Проверьте сертификат проверки подлинности сервера

Убедитесь, что сертификат проверки подлинности сервера, который вы использование соответствует следующим требованиям:

• Полное доменное имя Active Directory контроллера домена отображается в одном из следующих расположений:

  • Общее имя (CN) в поле «Тема»

  • Альтернативное имя субъекта (SAN ) в записи DNS

    • Расширение использования расширенного ключа включает идентификатор объекта аутентификации сервера (1.3.6.1.5.5.7.3.1).
    • Соответствующий закрытый ключ доступен на контроллере домена. Чтобы убедиться, что ключ доступен, используйте команду certutil -verifykeys.
    • Цепочка сертификатов действительна на клиентском компьютере. Чтобы определить, действителен ли сертификат, выполните следующие действия:
      1. На контроллере домена используйте оснастку «Сертификаты» для экспорта сертификата SSL в файл с именем Serverssl.cer.
      2. Скопируйте файл Serverssl.cer на клиентский компьютер.
      3. На клиентском компьютере откройте окно командной строки.
      4. В командной строке введите следующую команду, чтобы отправить выходные данные команды в файл с именем Output.txt:

    certutil -v -urlfetch -verify serverssl.cer> output.txt
    Откройте файл Output.txt и найдите ошибки.

Шаг 2: Проверьте сертификат аутентификации клиента

В некоторых случаях LDAPS использует сертификат аутентификации клиента, если он доступен на клиентском компьютере. Если такой сертификат доступен, убедитесь, что он соответствует следующим требованиям:

• Расширение использования расширенного ключа включает идентификатор объекта аутентификации клиента (1.3.6.1.5.5.7.3.2).
• Соответствующий закрытый ключ доступен на клиентском компьютере. Чтобы убедиться, что ключ доступен, используйте команду certutil -verifykeys.

• Цепочка сертификатов действительна на контроллере домена. Чтобы определить, действителен ли сертификат, выполните следующие действия:

  1. На клиентском компьютере используйте оснастку «Сертификаты» для экспорта сертификата SSL в файл с именем Clientssl.cer. Откройте файл Outputclient.txt и найдите ошибки.

Шаг 3: Проверьте наличие нескольких сертификатов SSL

Определите, соответствуют ли несколько сертификатов SSL требованиям, описанным в шаге 1. Выбирает Schannel (поставщик Microsoft SSL) первый действительный сертификат, который Schannel находит в хранилище локального компьютера. Если в хранилище локального компьютера доступно несколько действительных сертификатов, Schannel может не выбрать правильный сертификат. Конфликт с сертификатом центра сертификации (ЦС) может возникнуть, если ЦС установлен на контроллере домена, к которому вы пытаетесь получить доступ через LDAPS.

Шаг 4. Проверьте соединение LDAPS на сервере
Используйте средство Ldp.exe на контроллере домена, чтобы попытаться подключиться к серверу через порт 636. Если не удается подключиться к серверу через порт 636, просмотрите сообщения об ошибках, которые генерирует Ldp.exe. Также просмотрите журналы средства просмотра событий, чтобы найти ошибки. Для получения дополнительных сведений о том, как использовать Ldp.exe для подключения к порту 636, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

321051 Как включить LDAP через SSL с помощью стороннего центра сертификации
http://support.microsoft.com/kb/321051

Шаг 5. Включите ведение журнала Schannel
Включите ведение журнала событий Schannel на сервере и на клиентском компьютере. Для получения дополнительных сведений о том, как включить ведение журнала событий Schannel, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

260729 Как включить ведение журнала событий Schannel в IIS
http://support.microsoft.com / kb / 260729