LDAP sobre SSL Não foi bem-sucedido em 2003 DC, trabalhando no 2008 R2 DC no mesmo domínio

2

Eu tenho um UCC assinado publicamente para LDAP sobre SSL em um domínio de teste. Ele contém a Extensão OID de Autenticação do Servidor e funciona bem em um DC 2008 R2 no mesmo domínio. O CSR foi gerado no 2008 R2 Server, mas contém um nome de entidade correspondente ao FQDN do domínio e SANs para o FQDN do DC do 2008 R2 e o FQDN do DC de 2003.

Quando tento conectar-me de outro sistema no domínio via ldp.exe ao 2008 R2 DC pela porta 636 com SSL, ele funciona bem. No entanto, conectando-se ao DC 2003 retorna:

-----------
0x0 = ldap_unbind(ld);
ld = ldap_sslinit("testdc01", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to afgtestdc01.
ld = ldap_sslinit("testdc01", 636, 1);
Error 81 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to testdc01.

Eu aumentei o nível de registro de SChannel para "Registrar eventos informativos e de sucesso", o nível mais detalhado disponível. No entanto, o único evento ao tentar se conectar é 36867: Creating an SSL server credential .

Para evitar um problema conhecido em que um certificado incorreto pode ser selecionado pelo SChannel , assegurei que o certificado fosse o único na loja pessoal local do computador. Mudei as CAs intermediárias e raiz para as respectivas lojas de computadores. O certificado é válido no MMC.

O que estou perdendo?

Atualização: por recomendação da CA, criei um certificado duplicado com o nome da entidade correspondente ao FQDN do servidor, em vez de corresponder a ele na SAN. Isso não produziu nenhum resultado melhor.

No entanto, netstat -n -p tcp não mostra 636 como escutando, embora o portqry de outro servidor 2003 retorne que 636 esteja escutando. Eu estou procurando por que isso pode ser.

Eu também tentei testar com o ldp.exe no próprio DC 2003 e ainda não consigo me conectar.

    
por Tohuw 29.08.2013 / 14:20

0 respostas