我在 Azure 中有一个域控制器 (Server 2016)。该系统所在的 Azure 网络通过虚拟网络网关 (VPN) 连接到本地网络,网络工程师已将此网络配置为受信任,因此位于防火墙内。我们在本地网络上拥有一个带有根 CA 和从属 CA 的 PKI 基础架构,LDAPS 可与任何本地域控制器配合使用。
关于 Azure 系统:它已加入域和事件查看器,一切看起来都很好。它位于站点和服务中的自己的 AD 站点中。一切看起来都很好,我可以从我的本地网络 ping 机器,并且所有 LDAP 相关端口都通过端口查询打开。我们在事件日志中也没有看到任何错误。
在非 Azure 网络上的 Windows 10 计算机上(在 Default-First-Site 中),我可以将 LDAP 636 连接到该站点中的任何本地域控制器,但无法将 LDAP 636 连接到此 Azure 域控制器。我正在使用LDP.exe并收到错误:
ld = ldap_open("azure.fqdn.com", 636); Error <0x51>: Fail to connect to azure.fqdn.com.
我可以通过 LDAP 389 访问这台机器。我可以通过 telnet 636 访问这台机器。所以看起来证书出了问题。我只是不确定是什么问题。
证书存储区中有一份证书,其中包含此机器的 FQDN 的 SAN,其增强密钥用法为
Client Authentication (1.3.6.1.5.5.7.3.2), Server Authentication (1.3.6.1.5.5.7.3.1)
有人有主意吗?
答案1
看来您需要检查证书是否正确绑定到服务。
我建议从这里下载 testsslserverhttp://www.bolet.org/TestSSLServer/(根据您机器上安装的.net 版本)。
然后尝试运行:“TestSSLServer.exe AzureADFQDN 636”并查看输出。
一个已知问题是 ADSC 服务个人存储中存在另一个没有私钥的证书。服务绑定到该证书并失败。删除它将解决问题。您可以在此处阅读更多信息https://community.spiceworks.com/topic/1420908-ldaps-not-connecting