Windowsサーバー2008 R2 Active DirectoryでLDAPSを有効にできません

Question

Windowsサーバー（Windowsサーバー2008 R2）に新しいActive Directoryをセットアップしました。

そして、ポート389では正常に動作しています。他のシステムからパスワードを変更するにはLDAPSプロトコルを使用する必要があります。

この投稿によると、https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authorityは、LDAPSを有効にするための証明書をインポートすることだけです。

SSL証明書をインポートしてドメインコントローラを再起動したとき、ポート636が開かれているのを確認できません。

私のSSL証明書は、GeoTrustによって発行され、ウェブサイトで使用しています。 AD DS FQDNと同じWebサイトドメイン。私はそれがOKであるか分からない。

どうすれば問題を確認できますか？

Answer 1

1. 私は、サーバー認証（1.3.6.1.5.5.7.3.1）が拡張キー使用法であることを確認し、証明書の拡張キー使用状況を確認することから始めます。証明書を開き、[詳細]タブをクリックして[拡張キーの使用方法]までスクロールしてください。

2. ドメインコントローラでMMCを開き、証明書スナップインをローカルコンピュータに追加し、証明書が個人証明書に記載されています。証明書がある場合は、[全般]タブの下で証明書をダブルクリックします。下部に「この証明書に対応する秘密鍵があります」という行が表示されましたか？

あなたはどのようにあなたがそれをやってやっているの？「私はポート636が開いて見る大砲」と言いますかドメインコントローラ上でnetstatを実行して、サーバーがリストされているかどうか確認しましたか？ 構文：netstat -an | 「636」 -aディスプレイ接続およびリスニング・ポート -n表示IP

は「636」を探すこれはあなたが接続がたくさんあるでしょう、ドメインコントローラであるため、ポート636をフィルタリングすることです。正しく証明書設定した場合は636

とドメインは、ポート636/tcpのを聴いてます。openssl s_client -connect domain_controller_ip：

また、あなたは、OpenSSLへのアクセス権を持っている場合は、次の

構文を試すことができます。証明書情報が返されます。

Answer 2

問題は証明書と一致しません。

私のADドメインはxyz.comです。私の証明書Common Nameはxyz.comにする必要があります。間違っています。

証明書の右Common Nameは、Full computer nameまたはComputer name + Domainである必要があります。私のコンピュータ名はadで、Common Nameはad.xyz.comの証明書が必要です。