我有一个带有一个域控制器的测试域。在该域中,我已将根 CA 证书和颁发 CA 证书导入到整个计算机的相应证书存储中,并对域中的每台计算机也执行了此操作。然后,我将颁发 CA 颁发的证书导入到 NTDS 个人证书存储中(通过双击 .pfx 文件并按照提示导入证书)。颁发的证书具有服务器身份验证、与域控制器的完全限定域名匹配的 CN 和 SAN,并且未过期或被吊销。设置完成后,我重新启动了域控制器。当我尝试通过 ldp.exe(使用 FQDN)从域中的另一台计算机进行连接时,无法连接。所有端口均已打开,因此不存在防火墙问题。还能是什么问题?
答案1
故障排除:
通过 Telnet 连接到它并查看是否获得一个带有闪烁光标的空白屏幕。
使用域控制器上的 Ldp.exe 工具尝试通过端口 636 连接到服务器 如果无法通过端口 636 连接到服务器,Ldp.exe 会生成哪些错误?
答案2
事实证明我生成的证书是错误的。我遵循的说明说要生成一个证书,其 CN(或 SAN)与 Active Directory 域和信任中显示的值(在我的情况下是域名)相匹配,但这对我来说不起作用。最终奏效的是让 CN 与计算机名。域名。一旦我这样做了,一切都会按预期进行。
例如,如果您的域名是示例.com您的计算机名称是EC2AMAZ-ABC1234,那么您的 CN(或 SAN)应该是EC2AMAZ-ABC1234.example.com,这很可能是您的“完整计算机名称”。