У меня 3 контроллера домена с установленной на них ролью Active Directory. Я установил службы сертификации на один из контроллеров домена. Я могу использовать LDAPS для него, но не для других, даже если сертификат отображается в надежных хранилищах двух других контроллеров домена.
При попытке подключиться с помощью ldp.exe я получаю следующее сообщение об ошибке: ... ... Ошибка 81 = ldap_connect (hLdap, NULL); Ошибка сервера: ошибка <0x51>: не удается подключиться к
Я пробовал вручную импортировать сертификат, перезапускать службы сертификатов и многое другое, что я потерял из виду. Есть идеи, что может происходить? Спасибо!
Контроллеры домена Active Directory будут иметь работающий прослушиватель LDAPS на 636, только если у них есть собственный сертификат и закрытый ключ в хранилище сертификатов компьютера, на котором установлено использование проверки подлинности сервера.
Центр сертификации уже имеет это в силу того, что он является центром сертификации (корневой сертификат ЦС выполняет требование, поскольку он действителен для всех типов использования), но для других серверов простое доверие корневому сертификату не дает им того, что нужно .
Чтобы решить эту проблему, вы должны сделать две вещи:
certsrv.msc для ЦС в разделе «Шаблоны сертификатов» разрешите ЦС выдавать шаблон проверки подлинности Kerberos («новый шаблон сертификата для выпуска»).certtmpl.msc, откройте свойства шаблона проверки подлинности Kerberos. На вкладке "Безопасность" включите "Регистрация" и "Автоматическая регистрация" для Domain Controllers группа.Бег certutil -pulse на других контроллерах домена они должны предложить им зарегистрироваться для одного из этих сертификатов, и LDAPS должен начать работать в этих системах.