问如果我在域控制器上安装证书服务(企业根ca)，LDAPS是否自动启用？

EN

--一般答案

一般来说，是的，禁止任何与网络相关的配置，例如LDAPS协议的防火墙访问(:636)和LDAP协议(:389)。

在标准Active集成证书颁发机构安装中，您的域控制器将得到基于域控制器证书模板的证书，其中包括服务器身份验证OID。任何包含此OID的有效证书都将由Schannel服务自动获取并绑定到LDAPS (:636)。

删除此证书或缺少适当的服务器身份验证证书，将导致在Schannel源下的事件查看器安全日志中每秒钟记录警告事件。

主题备用名称支持

一个常见的警告是，LDAPS证书需要适当的主题替代名称支持。默认域控制器证书模板不包括证书SAN名称。如果domain.com具有名为dc1.domain.com和dc2.domain.com的域控制器，那么LDAPS (:636)将使用响应域控制器(dc1.domain.com或dc2.domain.com)的证书返回对domain.com的调用。许多应用程序和协议都将此视为安全威胁和错误退出。

支持对LDAPS

的SAN支持

1. 撤消和删除域控制器上标准颁发的域控制器证书。
2. 确保域控制器模板的安全性被标记为允许读取权限，但删除域控制器、企业域控制器和只读域控制器的注册和/或自动注册权限。
3. 复制Kerberos身份验证模板，其中包含服务器身份验证OID等。
   • 确保此模板允许导出密钥，并且主题名称不是从生成的，而是标记为在请求中提供的。
   • 确保证书模板的安全性允许域控制器、企业域控制器和只读域控制器同时读取和注册。

4. 发布新创建的证书模板。
5. 登录到每个域控制器，从模板中请求一个新证书，并将以下内容设置为命名信息(例如用于dc1.domain.com)：
   • 通用名称: dc1.domain.com
   • SAN: dc1.domain.com、dc1、domain.com和域。

6. 重新启动每个域控制器(并不总是必需的，而是为了更好的度量)，并验证事件查看器的安全通道不再抛出关于找不到合适证书的警告。

奖金信息

如何在内部快速验证LDAPS的连通性？

1. 登录到域控制器。
2. 启动LDP.exe。
3. 打开到域控制器名称、IP地址或域名本身的新连接。
   • 港口: 636
   • SSL:检查

4. 结果将让您知道您是否已经连接到什么域控制器的上下文。

如何快速查看当前的Schannel/LDAPS证书？

1. 下载和/或访问OpenSSL。
2. openssl.exe -s_client domain.com:636
3. 如果连接成功打开，日志的开始分段将显示连接详细信息。
4. 通过-----BEGIN CERTIFICATE...部分复制整个...END CERTIFICATE-----。
5. 将其粘贴到记事本中，并保存为certificate.cer。
6. 打开certificate.cer以查看Schannel/LDAPS正在显示的证书。

如果我使用LDAP (:636)，我能阻止所有LDAP (:389)流量吗？

是也不是。是的，您可以在所有南北通信量(内部和外部之间)上阻止LDAP (:389)。不；您不能阻止东西通信(内部和内部之间)的LDAP (:389)。LDAP (:389)对于Active中的某些复制功能至关重要。这些活动使用Kerberos的签名和密封进行保护。

对于缺乏准确的步骤或截图表示歉意。我现在不是在一个可以供应他们的环境中。