Problemen met LDAP oplossen

Problemen oplossen LDAP Problemen kunnen lastig lijken, en dit blog kan u helpen bij het oplossen van problemen. We bespreken twee scenario's die uw LDAP-fouten zouden moeten oplossen.

Scenario 1

In dit scenario wordt rekening gehouden met het feit dat uw certificaat niet is gepubliceerd in Active DirectoryOm dit probleem op te lossen, voert u de volgende opdrachten uit:

Om AIA-problemen op te lossen: certutil -dspublish -f RootCA

Om CDP-problemen op te lossen: certutil -dspublish -f

Als het probleem zich voordoet bij de uitgevende CA, moet u RootCA vervangen door SubCA en de hostnaam van de uitgevende CA gebruiken.

Hierna kunt u controleren of het certificaat aanwezig is in Active Directory of niet.

Log hiervoor in op de domeincontroller, open adsiedit.msc, maak verbinding met Configuratie en ga vervolgens naar Services > Public Key Services > AIA om de aanwezige certificaten te controleren. Als de certificaten aanwezig zijn en u nog steeds deze foutmelding krijgt, volg dan scenario 2.

Scenario 2

Als scenario 1 het probleem niet oplost, is het mogelijk dat de LDAP-URL onjuist is geconfigureerd tijdens het configureren van de AIA-punten op uw Root CA.

Om dit op te lossen, opent u eerst PKIView.msc om te controleren welke LDAP-URL uw PKI zoekt. Voor dit scenario zoekt mijn PKI naar:

ldap:///CN=Encon%20Root%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=ROOTCAOCS,CN=Configuration,DC=Encon,DC=com?cACertificate?base?objectClass=certificationAuthority

Maar het certificaat is gepubliceerd op:

CN=Encon Root CA,CN=AIA,CN=Openbare sleutelservices,CN=Services,CN=Configuratie,DC=encon,DC=com

U kunt de DN-naam van het object in ADSIedit.msc controleren.

Om dit probleem op te lossen, volgen we de volgende stappen:

1. Maak een nieuwe containerstructuur in uw domeinpartitie

   CN=Encon%20Root%20CA,CN=AIA,CN=Publieke%20Sleutel%20Services,CN=Services,CN=ROOTCAOCS,CN=Configuratie,DC=Encon,DC=com

2. Een object maken onder Configuratie

   

3. Kies de objectklasse “container”

   

4. Geef de exacte waarde ROOTCAOCS op zoals hierboven gemarkeerd

   

5. Klik op Voltooien

   

6. Volg stappen 2-5 om extra containers te maken in ROOTCAOCS > Services > Public Key Services > AIA

   

7. Voer de opdracht uit op de domeincontroller om het gepubliceerde object te extraheren

   LDIFDE -d ” CN=Encon Root CA,CN=AIA,CN=Openbare sleutelservices,CN=Services,CN=Configuratie,DC=encon,DC=com” -fc:\export.txt

   

8. Breng wijzigingen aan in export.txt, waarbij u de bestaande dn vervangt door de LDAP-URL waarnaar uw PKI op zoek is.

   CN=Encon Root CA,CN=AIA,CN=Openbare sleutelservices,CN=Services,CN=ROOTCAOCS,CN=Configuratie,DC=encon,DC=com

   U moet ook GUID, USN-informatie en andere details verwijderen.

   

9. Publiceer de u ldifde -i -fc:\export.txt

   

10. Het object zou nu op de nieuwe plaats moeten staan

    

11. PKI View mag geen fouten weergeven

    

Conclusie

Problemen met CDP- en AIA LDAP-locaties kunnen lastig zijn. Verkeerde configuratie kan vaak problemen veroorzaken, die moeilijker te traceren zijn. Dit zou alle LDAP URL-problemen moeten oplossen die u in uw PKI-omgeving kunt tegenkomen. LDAP-problemen kunnen soms lastig zijn, maar als scenario 1 uw probleem niet oplost, zal scenario 2 dat zeker wel doen.