Windows Server: Sådan slår du LDAPS (Secure Lightweight Directory Access Protocol) til på en Active Directory-domænecontroller
Summary: Denne artikel indeholder trinene til at slå Sikker LDAP til på en Active Directory-domænecontroller.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
LDAP (Lightweight Directory Access Protocol) er en af kerneprotokollerne i Active Directory-domænetjenester. Sikker LDAP (LDAPS eller LDAP over SSL eller TLS) giver mulighed for at sikre LDAP-kommunikation via kryptering.
Et passende certifikat skal genereres og installeres på en DC, for at DC kan bruge LDAPS. Følgende kan bruges som skabelon for certifikatanmodningen:
Når anmodningen er genereret, skal den sendes til nøglecenteret. Indsendelsesproceduren kan ikke dokumenteres her, da den afhænger af CA.
CA genererer certifikatet, som skal downloades til DC. Downloadproceduren varierer også, men certifikatet skal kodes som base64.
Gem certifikatet på DC som ldaps.cer, og kør
DC skal nu genstartes. Når DC starter op i Windows igen, bruges LDAPS automatisk til LDAP-kommunikation. Der kræves ingen yderligere konfiguration.
BEMÆRK: Domænecontrolleren skal genstartes, når denne procedure er afsluttet. Afhængigt af miljøet kan det være nødvendigt med et planlagt vedligeholdelsesvindue.
Et passende certifikat skal genereres og installeres på en DC, for at DC kan bruge LDAPS. Følgende kan bruges som skabelon for certifikatanmodningen:
;----------------- request.inf ----------------- [Version] Signature="$Windows NT$ [NewRequest] Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC KeySpec = 1 KeyLength = 1024 ; Larger key sizes (2048, 4096, 8192, or 16384) ; can also be used. They are more secure but larger ; sizes have a greater performance impact. Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication ;-----------------------------------------------
Du genererer et LDAPS-certifikat ved at kopiere teksten ovenfor til Notesblok. Skift <DC_fqdn> i linjen Emne til det fulde domænenavn på den DC, hvor certifikatet er installeret (f.eks. dc1.ad.domain.com).
Afhængigt af nøglecenteret (CA) kan nogle eller alle af følgende oplysninger også være påkrævet:
- E-mailadresse (E)
- Organisationsenhed (OU)
- Organisation (O)
- By eller lokalitet (L)
- Stat eller provins (S)
- Land eller område (C)
Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"Gem tekstfilen som request.inf, og kør
certreq -new request.inf request.req fra en kommandoprompt. Dette genererer en certifikatanmodning med navnet request.req ved hjælp af oplysningerne i tekstfilen.
Når anmodningen er genereret, skal den sendes til nøglecenteret. Indsendelsesproceduren kan ikke dokumenteres her, da den afhænger af CA.
CA genererer certifikatet, som skal downloades til DC. Downloadproceduren varierer også, men certifikatet skal kodes som base64.
Gem certifikatet på DC som ldaps.cer, og kør
certreq -accept ldaps.cer for at fuldføre den afventende anmodning og installere certifikatet. Som standard er certifikatet installeret i DC's personlige lager; MMC-snap-in'en Certifikater kan bruges til at bekræfte dette.
DC skal nu genstartes. Når DC starter op i Windows igen, bruges LDAPS automatisk til LDAP-kommunikation. Der kræves ingen yderligere konfiguration.
Additional Information
Kørsel af netstat -kommandoen på en hvilken som helst DC viser, at lsass.exe-processen lytter på TCP-port 389 og 636, uanset om ovenstående procedure er blevet fulgt eller ej. LDAPS kan dog ikke bruges, før der er installeret et passende certifikat.
ADSI-redigeringsværktøjet kan bruges til at bekræfte, at LDAPS er i brug:
- Start ADSI Edit (
adsiedit.msc). - I venstre rude skal du højreklikke på ADSI Edit og vælge Opret forbindelse til... .
- Vælg en navngivningskontekst i rullemenuen.
- Marker Brug SSL-baseret kryptering.
- Klik på Avanceret... .
- Indtast 636 som portnummer, og klik på OK.
- Port 636 skal vises i feltet Sti nær toppen af vinduet. Klik på OK for at oprette forbindelse.
- Hvis forbindelsen oprettes, er LDAPS i brug.
Affected Products
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022Products
PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360
, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640
...
Article Properties
Article Number: 000212661
Article Type: How To
Last Modified: 11 Dec 2024
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.