在testing域中,我有一个公开签名的LDAP over SSL。 它包含服务器身份validationOID扩展,并在同一个域中的2008 R2 DC上正常工作。 CSR是在2008 R2服务器上生成的,但包含与2008 R2 DC的FQDN和2003 DC的FQDN的域和SAN的FQDN相匹配的主题名称。
当我尝试从域上的另一个系统通过ldp.exe连接到2008 R2 DC通过端口636与SSL,它工作正常。 然而,连接到2003年DC回报:
----------- 0x0 = ldap_unbind(ld); ld = ldap_sslinit("testdc01", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to afgtestdc01. ld = ldap_sslinit("testdc01", 636, 1); Error 81 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to testdc01. 我已经将SChannel日志logging级别提升为“logging信息和成功事件”,这是最详细的级别。 但是,尝试连接时唯一的事件是36867: Creating an SSL server credential 。
为了避免已知问题,SChannel可能会select不正确的证书 ,我确保证书是计算机本地个人存储中唯一的证书。 我把中间和根CA移到他们各自的电脑商店。 证书在MMC中显示为有效。
我错过了什么?
更新:根据CA的build议,我创build了一个重复证书,其中的主题名称与服务器的FQDN相匹配,而不是在SAN中进行匹配。 这没有产生更好的结果。
但是, netstat -n -p tcp不显示636为监听,尽pipe来自另一台2003服务器的portqry返回636正在监听。 我正在调查为什么这可能是。
我也曾尝试在2003 DC上使用ldp.exe进行testing,但仍然无法连接。