我的测试域控制器(Server 2019)出现配置问题,我无法使用 LDP 通过 636 进行连接。(使用完整域名)
在 2008 年和 2012 年,我不需要做任何额外的配置;它就可以正常工作。
但是,在 2019 年,我可能需要手动配置 SSL 证书才能实现此功能。我在 MS 上找到了这篇文章:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority 看来我需要为我将要连接的每个域(将会有很多)获取公共证书。如果这是真的,这些证书将会过期,我不确定会有什么影响(它仍然有效还是会失败?)。如果它会失败,我该如何查看证书并提前修复?
但这对我来说没有意义,因为 2008 和 2012 都可以在 636 上“开箱即用”。
当我使用以下命令检查 2019 服务器时:certutil -v -urlfetch -verify serverssl.cer > output.txt
我得到:
DecodeFile 返回系统找不到指定的文件 0x80070002 (Win32: 2 ERROR_FILE_NOT_FOUND) LoadCert(Cert) 返回系统找不到指定的文件 0x80070002 (Win32: 2 ERROR_FILE_NOT_FOUND) CertUtil -verify 命令 FAILED: 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND) CertUtil: 系统找不到指定的文件。
所以这告诉我该证书不存在。
我将要连接的每个域,连接到它们的计算机都不会在同一个域中。在上面的文章中,它指的是拥有一个可以被两个设备信任的证书。
从测试域中,我可以运行 LDP,并使用内置配置的证书重新连接到 2008 或 2012 域,在 636 上没有任何问题......但这是一个新版本,它似乎有所不同。
有人在 2019 年遇到过这种情况吗?可以分享一些我遇到的情况的信息吗?
答案1
事实证明,我的问题是在测试域中我没有安装证书颁发机构服务。安装和配置后,它开始按预期工作。