Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Контроллер домена не загружает сертификат для LDAPS

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Анализ текущей конфигурации сертификата
  4. 2. Доступ корневых и промежуточных сертификатов
  5. 3. Регистрация сертификата в реестре
  6. 4. Безопасные политики и разрешения
  7. 5. Анализ ошибок и логов
  8. Заключение

Вопрос или проблема

У меня есть Active Directory, и я могу подключиться с помощью LDAP на порту 389.

Я включил LDAPS, но он не работает при использовании ldp.exe с ошибкой:

Не удается открыть соединение

В просмотрщике событий я вижу:

LDAP через защищенные каналы (SSL) будет недоступен 
в настоящее время, так как сервер не смог получить сертификат.

Дополнительные данные
Ошибка: 8009030e Нет учетных данных в пакете безопасности

Я сгенерировал сертификат с помощью Let’s Encrypt.

Сертификат находится в хранилище Персональное компьютера. Исгов корневой X1 находится в хранилище Удостоверяющих центров корневого сертификата.
R10 и R11 находятся в хранилище Удостоверяющих центров промежуточных сертификатов.

К значению реестра Certificate было добавлено значение в HKLM\SYSTEM\CurrentControlSet\Services\LDAP с отпечатком сертификата.

Результат openssl s_client:

запись в 0x25be4ad1e10 [0x25be4b003c0] (322 байта => -1)
запись:errno=10054
---
сертификат партнера недоступен
---
Имена CA клиентского сертификата не отправлены
---
Рукопожатие SSL прочитало 0 байт и записало 0 байт
Проверка: ОК
---
Новый, (НЕТ), шифр - (НЕТ)
Протокол: TLSv1.3
Эта версия TLS запрещает пересогласование.
Сжатие: НЕТ
Расширение: НЕТ
ALPN не согласован
Ранние данные не были отправлены
Код возврата проверки: 0 (ок)
---
чтение из 0x25be4ad1e10 [0x25be4a77de0] (16384 байта => -1)

Что еще я упустил?

Ответ или решение

Проблема с загрузкой сертификата для LDAPS на контроллере домена может быть вызвана рядом факторов. Давайте аккуратно разберем ключевые аспекты данной ситуации, чтобы найти возможное решение.

1. Анализ текущей конфигурации сертификата

Вы упомянули, что сертификат был сгенерирован с использованием Let’s Encrypt и помещён в хранилище «Личное» (Personal) локального компьютера. Убедитесь, что сертификат полностью соответствует требованиям для использования с LDAPS:

  • Частный ключ: Сертификат должен иметь ассоциированный частный ключ, который также должен находиться в хранилище «Личное». Это можно проверить с помощью MMC (Microsoft Management Console). Откройте MMC, добавьте оснастку «Сертификаты», и убедитесь, что рядом с сертификатом существует символ, указывающий на наличие частного ключа (иконка замка).

  • Неправильный общий именование (CN): Убедитесь, что общее имя (Common Name) сертификата соответствует имени хоста контроллера домена. Если контроллер домена имеет FQDN (например, dc.example.com), то это имя должно быть в CN сертификата.

2. Доступ корневых и промежуточных сертификатов

Вы указали, что корневой сертификат ISRG Root X1 находится в хранилище надежных корневых центров сертификации, а промежуточные сертификаты (r10 и r11) также размещены в соответствующем хранилище. Убедитесь в следующем:

  • Полнота цепочки сертификатов: Проверьте, что промежуточные сертификаты действительны и установлены правильно. Также можно протестировать цепочку сертификатов с помощью инструмента проверки, например, OpenSSL для построения цепочки. Убедитесь, что все промежуточные сертификаты доступны.

3. Регистрация сертификата в реестре

Вы добавили значение реестра с отпечатком сертификата в HKLM\SYSTEM\CurrentControlSet\Services\LDAP. Убедитесь, что:

  • Отпечаток сертификата правильный: Проверьте, что вы внесли именно тот отпечаток, который соответствует сертификату, который вы хотите использовать. Ошибки в этом значении могут привести к тому, что контроллер домена не будет загружать нужный сертификат.

4. Безопасные политики и разрешения

Иногда проблемы могут возникать из-за настроек безопасности или разрешений:

  • Политики безопасности: Убедитесь, что политики безопасности на вашем контроллере домена не блокируют использование LDAPS. Проверьте настройки шифрования в групповых политиках.

  • LDP.exe: При использовании LDP.exe для подключения по LDAPS обязательно указывайте правильный порт (обычно 636). Также проверьте, что при использовании ldp.exe вы ввели правильные параметры подключения.

5. Анализ ошибок и логов

Ваше сообщение об ошибке «8009030e No credentials are available in the security package» указывает на проблемы с безопасной сессией. Рекомендации:

  • Проверьте логи событий: В журналах событий Windows ищите другие записи, связанные с LDAP или SSL/TLS, которые могут дать дополнительную информацию о проблеме.

  • Сетевые настройки: Убедитесь, что порты 636 и 389 открыты и не блокируются брандмауэром или другими сетевыми устройствами.

Заключение

Следуя вышеописанным шагам, вы сможете устранить большинство распространённых проблем, связанных с настройкой LDAPS на контроллере домена. Если, несмотря на все предпринятые меры, проблема все еще сохраняется, возможно, стоит рассмотреть возможность консультации со специалистом по безопасности или системным администратором, который сможет глубже проанализировать вашу конфигурацию и предложить индивидуальные решения.

ldap
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности