none
[AD]Ошибка с ldaps: Fail to connect to dc RRS feed

  • Общие обсуждения

  • Добрый день всем! Очень надеюсь на вашу поддержку.

     Ситуация вот какая - В AD поднята инфраструктура PKI - Root CA Offline, Sub CA Online. До 07.08.2010 в AD работал ldaps - то есть ldap over ssl. На выходных истек срок действия сертификатов "Контроллер домена" на всех dc. Т.к. обновить сертификаты не удалось, то пытался запросить и выдать новые. Дальше мучения, т.к. не все так просто оказалось. Проверял различные шаблоны, типа шифрования, длина ключа, место хранилища - ничего не заставляет подключаться к dc по 636 порту. Попробовал как по стандартной инструкции - http://support.microsoft.com/kb/321051 - не коннектится на 636 никак. Проверяю утилитой ldp - которая постоянно выдает такую ошибку:

    ld = ldap_open("dcname.domain.local", 636);
    Error <0x51>: Fail to connect to dcname.domain.local

    В журнале Система ошибка:
    Тип события: Ошибка
    Источник события: Schannel
    Категория события: Отсутствует
    Код события: 36881
    Дата: 10.08.2010
    Время: 8:53:44
    Пользователь: Н/Д
    Компьютер: DCNAME
    Описание:
    Сертификат, полученный от удаленного сервера, просрочен. Запрос на SSL-подключение не может быть выполнен. В прилагаемых данных содержится сертификат сервера.

    По поводу ошибки 36881 - нашел только, что сервер нужно перезагрузить. Сервер перезагружал, поэтому к кэшу не должен обращаться. Удалял сертификаты выданные для этого dcname и запрашивал и получал новый. Почему и какой сертификат, полученный от удаленного сервера просрочен? Как будто нет доверия к сертификатам.  

    http://support.microsoft.com/kb/839514 - здесь решение ошибки 36881, но после ребута ошибка повторно появляется. Причем заметил, на ЦА от каждого dc идут запросы на выдачу сертификатов.

    • Изменен тип Vinokurov YuriyModerator 25 августа 2010 г. 6:18 давность и отсутствие активности в теме
    9 августа 2010 г. 21:09

Все ответы

  • http://support.microsoft.com/kb/290483

    Почитайте это, может помочь.


    In pivo veritas... t.G. - испокон и вовеки. Want to believe... It's a magic...
    10 августа 2010 г. 7:01
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    23 августа 2010 г. 6:29
    Модератор