我有 3 个域控制器,其中安装了 Active Directory 角色。我在其中一个域控制器上安装了证书服务。我可以通过 LDAPS 连接到该域控制器,但无法连接到其他域控制器,尽管证书显示在另外两个域控制器的受信任存储中。
尝试连接 ldp.exe 时,出现以下错误消息:... ... 错误 81 = ldap_connect(hLdap, NULL); 服务器错误:错误 Q:无法连接到
我尝试过手动导入证书、重新启动证书服务,以及许多其他我记不清的事情。有人知道可能发生了什么吗?谢谢!
答案1
如果 Active Directory 域控制器在设置了服务器身份验证用法的计算机证书存储中拥有自己的证书和私钥,则它们在 636 上只会有一个正常工作的 LDAPS 侦听器。
证书颁发机构已经凭借其作为证书颁发机构的身份拥有了这一点(CA 的根证书满足要求,因为它对所有使用类型都有效),但对于其他服务器来说,简单地信任根证书并不能获得它们所需的东西。
为了解决这个问题,你应该做两件事:
- 对于
certsrv.msc
CA,在证书模板下,启用 CA 来颁发 Kerberos 身份验证模板(“要颁发的新证书模板”)。 - 在 中
certtmpl.msc
,调出 Kerberos 身份验证模板的属性。在安全选项卡上,为该Domain Controllers
组启用“注册”和“自动注册”。
在其他域控制器上运行certutil -pulse
应该提示他们注册其中一个证书,并且 LDAPS 应该开始在这些系统上运行。