受信任域之间的Active Directory LDAPS

Question

我试图在两个域控制器( domainA.com和domainB.com )之间配置LDAPS。我们配置了单向信任，以便domainB.com有权查看位于domainA.com中的用户帐户。DomainA.com有多个SSL证书:根证书和中间证书，以及每个域控制器的多个证书。

我正在寻求反馈的步骤，以完成这个过程，因为我觉得我错过了什么，当涉及到上传证书。我已经详细说明了我在下面所采取的步骤。

根据我的研究，在LDAPS上启用这些控制器之间的连接的过程是：

注:步骤3-5基于下面的链接文章

1. 打开域控制器之间的端口(已完成)
2. 建立单向信任(已完成)
3. 从domainA.com域控制器导出证书(已完成)
4. 将.cer文件加载到domainB.com并将它们添加到java (已完成)
5. 使用ldp.exe工具建立636连接(失败)

我是Active Directory的新手，我不熟悉如何启用LDAPS。在这篇文章的LDAPS部分中，我执行了以下步骤在domainB.com上配置LDAPS：

1. 已安装的Active证书服务和证书颁发机构
2. 将.cer文件从domainA.com添加到domainB.com服务器的Java中
3. 使用ldp.exe工具测试连接(389 (LDAP)连接成功，636 (LDAP)连接失败)

使用PortQryUI工具进行的其他验证检查表明，域控制器之间打开了所有端口。

Environment：AWS和On Prem

域控制器

domainA.com -在前提下AD域控制器(由他人控制)

domainB.com - AWS AD域控制器(由我控制)

Answer 1

您正在测试的计算机必须信任证书(开始菜单->管理计算机证书->受信任根证书颁发机构)。如果我没记错，每次ldp.exe尝试连接时，事件查看器(系统日志)可能会出现错误，并且由于证书错误而失败。

如果要测试证书是否可信，可以使用PowerShell从这个答案下载证书。只需使用https://domainA.com:636作为“网站”。

$webRequest = [Net.WebRequest]::Create("https://domainA.com:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "domainA.com.cer"

然后双击domainA.com.cer (无论您从哪个文件夹运行这段代码)来查看它。如果它不可信，它将向您显示一个很大的警告。你的目标是能够看到它，并让它说它是可信的。