我正在为我的林使用由 Microsoft CA 创建的自签名证书。所有 DC 都自动注册并从 CA 接收正确的证书,并且可以使用 LDP 建立 LDAPS 连接。但是,在托管 CA LDP 的 DC 上,无法建立 TLS 连接,事件日志报告“从远程服务器收到的证书是由不受信任的证书颁发机构颁发的。”
使用“openssl s_client -connect server:636”我收到:
subject = CN = ILLINOIS-DC1A.DOMAIN.COM
issuer = CN = ILLINOIS-DC1A.DOMAIN.COM
而在工作服务器上我收到:
主题 =
发行者 = DC = com,DC = 域,CN = illinois-ILLINOIS-DC1A-CA
检查证书存储区中的两个证书表明,两个证书都具有正确的颁发者数据。
那么,为什么 ADDS 在故障服务器上创建 Server Hello 数据时会删除 DC 字段?
答案1
问题已解决。Active Directory 域服务 NTDS\Personal 容器中有一个恶意证书 - 删除了它,现在我可以建立 LDAPS 连接。