У нас есть несколько контроллеров домена AD Windows Server 2016, и нам нужно заменить все подключения LDAP на подключения LDAPS. Для обеспечения высокой доступности мы хотели бы подключить все сеансы LDAPS к «domain.local». Проблема в том, что все контроллеры домена имеют самозаверяющие сертификаты, зарегистрированные на их полное доменное имя. Когда сеанс LDAPS подключается к «domain.local», один из контроллеров домена отвечает своим собственным сертификатом, и они не совпадают.
Я мог бы заменить эти самозаверяющие сертификаты новыми сертификатами, содержащими «domain.local» в качестве альтернативного имени субъекта. Но я не уверен, что это правильный путь. Я думаю, что это также нарушает процесс автоматического обновления для этих сертификатов, поскольку невозможно предоставить SAN "domain.local" для шаблона сертификата.
Должно быть гораздо больше таких инсталляций, как наша, и я очень не хочу изобретать колесо заново, так что должен быть кто-то, у кого есть ответ на этот вопрос?
TIA, Воутер
Этот вопрос немного старый, но это руководство MSFT по созданию нового Шаблон сертификата «Проверка подлинности контроллера домена (Kerberos)» (для поддержки Windows Hello) поможет вам создать новый шаблон и заменить предыдущие шаблоны сертификатов DC. (Пропустите оставшуюся часть документа, когда он начнет обсуждать свидетельства о зачислении.)
Новый шаблон основан на шаблоне аутентификации Kerberos (поскольку вам нужен OID "KDC Authentication"), но он обновляет алгоритм шифрования до RSA с длиной ключа 2048. RSA более производительно, чем старый алгоритм во встроенном Kerberos шаблон.
Сейчас я делаю это на всех своих контроллерах домена, даже в средах без Windows Hello.
Если вы используете корпоративный ЦС Microsoft, правильным методом будет выпуск сертификатов для контроллеров домена с помощью "Kerberos Authentication" шаблон (как указал @ Crypt32). В "Kerberos Authentication" шаблон будет включать не только полное доменное имя контроллера домена, но и полное доменное имя домена в сети SAN, что позволяет подключаться напрямую в качестве имени домена.
Стоит отметить, что "Domain Controller" (Сервер 2000) и "Domain Controller Authentication" (Server 2003) шаблоны являются более ранними версиями, чем "Kerberos Authentication" (Server 2008) шаблон. Я бы рекомендовал отключить эти шаблоны в вашем ЦС, чтобы избежать путаницы.