SSL 接続の問題に関する LDAP のトラブルシューティング

この記事では、LDAP over SSL (LDAPS) 接続の問題をトラブルシューティングする方法について説明します。

適用対象:  WindowsServer 2003
元の KB 番号:   938703

手順 1: サーバー認証証明書を確認する

使用するサーバー認証証明書が次の要件を満たしていることを確認します。

  • ドメイン コントローラーの Active Directory 完全修飾ドメイン名は、次のいずれかの場所に表示されます。

    • [件名] フィールドの 共通名 (CN)。
    • DNS エントリのサブジェクトの代替名 (SAN) 拡張機能。
  • 拡張キー使用法拡張機能には、サーバー認証オブジェクト識別子 (1.3.6.1.5.5.7.3.1) が含まれます。

  • 関連付けられたプライベート キーは、ドメイン コントローラーで使用できます。 キーが使用可能な場合は、コマンドを使用 certutil -verifykeys します。

  • 証明書チェーンは、クライアント コンピューター上で有効です。 証明書が有効かどうかを確認するには、次の手順を実行します。

    1. ドメイン コントローラーで、証明書スナップインを使用して SSL 証明書を Serverssl.cer という名前のファイルにエクスポートします。

    2. Serverssl.cer ファイルをクライアント コンピューターにコピーします。

    3. クライアント コンピューターで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力を次の名前のファイル に送信 Output.txt。

      certutil -v -urlfetch -verify serverssl.cer > output.txt
      

      注意

      この手順を実行するには、Certutil コマンド ライン ツールがインストールされている必要があります。

    5. ファイルを開Output.txtし、エラーを検索します。

手順 2: クライアント認証証明書を確認する

クライアント コンピューターで使用できる場合、LDAPS はクライアント認証証明書を使用する場合があります。 このような証明書を使用できる場合は、証明書が次の要件を満たしていることを確認します。

  • 拡張キー使用法拡張機能には、クライアント認証オブジェクト識別子 (1.3.6.1.5.5.7.3.2) が含まれます。

  • 関連付けられたプライベート キーは、クライアント コンピューターで使用できます。 キーが使用可能な場合は、コマンドを使用 certutil -verifykeys します。

  • 証明書チェーンはドメイン コントローラーで有効です。 証明書が有効かどうかを確認するには、次の手順を実行します。

    1. クライアント コンピューターで、[証明書] スナップインを使用して、SSL 証明書を Clientssl.cer という名前のファイルにエクスポートします。

    2. Clientssl.cer ファイルをサーバーにコピーします。

    3. サーバーで、コマンド プロンプト ウィンドウを開きます。

    4. コマンド プロンプトで、次のコマンドを入力して、コマンド出力を次の名前のファイル に送信 Outputclient.txt。

      certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
      
    5. ファイルを開Outputclient.txtし、エラーを検索します。

手順 3: 複数の SSL 証明書を確認する

手順 1 で説明されている要件を複数の SSL 証明書が満たするかどうかを 確認します。 Schannel (Microsoft SSL プロバイダー) は、Schannel がローカル コンピューター ストアで見つけた最初の有効な証明書を選択します。 ローカル コンピューター ストアで複数の有効な証明書を使用できる場合、Schannel が正しい証明書を選択できない場合があります。 LDAPS を介してアクセスしようとしているドメイン コントローラーに CA がインストールされている場合、証明機関 (CA) 証明書との競合が発生する可能性があります。

手順 4: サーバー上の LDAPS 接続を確認する

ドメイン コントローラーLdp.exeツールを使用して、ポート 636 を使用してサーバーに接続します。 ポート 636 を使用してサーバーに接続できない場合は、サーバーが生成するLdp.exeしてください。 また、イベント ビューアー ログを表示してエラーを検出します。 ポート 636 に接続するために Ldp.exeを使用する方法の詳細については、「サードパーティの証明機関を使用して LDAP over SSL を有効にする方法」 を参照してください

手順 5: Schannel ログを有効にする

サーバーとクライアント コンピューターで Schannel イベント ログを有効にします。 Schannel イベント ログを有効にする方法の詳細については、「How to enable Schannel event logging in Windows および Windows Server 」を参照してください

注意

Microsoft Windows NT 4.0 を実行しているコンピューターで SSL デバッグを実行する必要がある場合は、インストールされている Windows NT 4.0 サービス パックに Schannel.dll ファイルを使用し、デバッガーをコンピューターに接続する必要があります。 Schannel ログは、4.0 のデバッガー Windows NT送信します。