Windows Server: Cómo habilitar el protocolo ligero seguro de acceso a directorios (LDAPS) en una controladora de dominio de Active Directory

Summary: En este artículo, se proporcionan los pasos para habilitar LDAP seguro en una controladora de dominio de Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

El protocolo ligero de acceso a directorios (LDAP) es uno de los protocolos principales de Active Directory Domain Services. LDAP seguro (LDAPS o LDAP mediante SSL o TLS) proporciona un medio para proteger la comunicación de LDAP a través del cifrado.
 
NOTA: La controladora de dominio se debe reiniciar al final de este procedimiento. Según el entorno, es posible que se requiera una ventana de mantenimiento programada.

Se debe generar e instalar un certificado adecuado en una DC para que la DC utilice LDAPS. Lo siguiente se puede utilizar como plantilla para la solicitud de certificado:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------


Para generar un certificado LDAPS, copie el texto anterior en el Bloc de notas. Cambie <DC_fqdn> en la línea Subject al nombre de dominio calificado de la DC donde está instalado el certificado (por ejemplo, dc1.ad.domain.com).

En función de la autoridad de certificación (CA), es posible que también se requiera parte o la totalidad de la siguiente información:

  • Dirección de correo electrónico (E)
  • Unidad organizacional (OU)
  • Organización (O)
  • Ciudad o localidad (L)
  • Estado o provincia (S)
  • País o región (C)
Toda esta información se puede agregar a la línea de Asunto , como en este ejemplo: 
Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"
Guarde el archivo de texto como request.inf y ejecute certreq -new request.inf request.req desde una línea de comandos. Esto genera una solicitud de certificado denominada request.req con la información proporcionada en el archivo de texto.

Una vez generada la solicitud, se debe enviar a la CA. El procedimiento de presentación no se puede documentar aquí, ya que depende de la CA.

La CA genera el certificado, que se debe descargar en la DC. El procedimiento de descarga también varía, pero el certificado debe estar codificado como base64.

Guarde el certificado en la DC como ldaps.cer y ejecute certreq -accept ldaps.cer para completar la solicitud pendiente e instalar el certificado. De forma predeterminada, el certificado se instala en el almacén Personal de la DC; el complemento MMC Certificados se puede utilizar para confirmar esto.

Ahora se debe reiniciar la DC. Cuando la DC vuelve a arrancar en Windows, LDAPS se utiliza automáticamente para la comunicación LDAP; No se requiere ninguna configuración adicional.

Additional Information

Ejecución de netstat comando en cualquier DC muestra que el proceso de lsass.exe escucha en los puertos TCP 389 y 636, independientemente de si se ha seguido o no el procedimiento anterior. Sin embargo, LDAPS no se puede utilizar hasta que se instale un certificado adecuado.

La herramienta ADSI Edit se puede utilizar para confirmar que LDAPS esté en uso:

  1. Inicie ADSI Edit (adsiedit.msc).
  2. En el panel izquierdo, haga clic con el botón secundario en Editar ADSI y seleccione Conectar a... .
  3. Seleccione un contexto de nomenclatura en el menú desplegable.
  4. Marque Usar cifrado basado en SSL.
  5. Haga clic en Opciones avanzadas... .
  6. Ingrese 636 para el número de puerto y haga clic en OK.
  7. El puerto 636 debe aparecer en el campo Path cerca de la parte superior de la ventana. Haga clic en OK para conectarse.
  8. Si la conexión se realiza correctamente, LDAPS está en uso.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022

Products

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ...
Article Properties
Article Number: 000212661
Article Type: How To
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.