amazon-web-services - 受信任域之间的 Active Directory LDAPS

Question

我正在尝试在两个域 Controller domainA.com 和 domainB.com 之间配置 LDAPS。我们配置了一种单向信任，使 domainB.com 有权查看位于 domainA.com 中的用户帐户。 DomainA.com 有多个 SSL 证书:一个根证书、一个中间证书，以及每个域 Controller 的多个证书。

我正在寻求有关完成该过程的步骤的反馈，因为我觉得在上传证书时我遗漏了一些东西。我在下面详细说明了我已采取的步骤。

根据我的研究，通过 LDAPS 在这些 Controller 之间建立连接的过程是:

注意:第 3-5 步基于下面的链接文章

1. 打开域 Controller 之间的端口(已完成)
2. 建立单向信任(已完成)
3. 从 domainA.com 域 Controller 导出证书(已完成)
4. 将 .cer 文件加载到 domainB.com 并将它们添加到 java keystore (已完成)
5. 使用 ldp.exe 工具建立 636 连接(失败)

我是 Active Directory 的新手，不熟悉如何启用 LDAPS。在 this article 的 LDAPS 部分我执行了以下步骤在 domainB.com 上配置 LDAPS:

1. 已安装 Active Directory 证书服务和证书颁发机构
2. 将 domainA.com 的 .cer 文件添加到 domainB.com 服务器的 Java keystore
3. 使用 ldp.exe 工具测试连接(389(LDAP)连接成功，636(LDAPS)连接失败)

使用 PortQryUI 工具进行的额外验证检查显示域 Controller 之间的所有端口都已打开。

环境:AWS 和本地

域 Controller

domainA.com - 本地 AD 域 Controller (由其他人控制)

domainB.com - AWS AD 域 Controller (由我控制)

Answer 1

证书必须受到您正在测试的计算机的信任(开始菜单 -> 管理计算机证书 -> 受信任的根证书颁发机构)。如果我没记错的话，每次 ldp.exe 尝试连接并由于证书错误而失败时，事件查看器(系统日志)中可能会出现错误。

如果您想测试证书是否可信，您可以使用来自 this answer 的 PowerShell下载证书。只需使用 https://domainA.com:636 作为“网站”即可。

$webRequest = [Net.WebRequest]::Create("https://domainA.com:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "domainA.com.cer"

然后双击 domainA.com.cer(在您碰巧从中运行此代码的文件夹中)以查看它。如果它不受信任，它将向您显示一个很大的警告。您的目标是能够查看它并让它说它是可信的。