如何通过 SSL 连接到 AD LDS？处理“服务器无法运行”错误答案

【问题标题】：How to connect to AD LDS over SSL? Dealing with "The server is not operational" error如何通过 SSL 连接到 AD LDS？处理“服务器无法运行”错误
【发布时间】：2012-05-22 12:33:54
【问题描述】：

我正在尝试通过来自 .NET 4 Web 服务的安全 SSL 连接连接到 Active Directory Lightweight Directory Services 2008 R2 的实例，但我收到“服务器无法运行”。错误。

我使用的用户是使用 ADSI 编辑器创建的并被置于管理员角色中。
我可以使用 SSL 和简单绑定通过 ADSI 编辑器登录/连接该用户，并且
我可以使用相同的用户凭据但使用非 SSL 端口连接到 Web 服务。
我正在使用专有名称和
用户绝对没有处于非活动状态。

这是我用来绑定的代码：

 DirectoryEntry entry = new DirectoryEntry("LDAP://2.2.2.2:636/DC=nfa,DC=local");
            entry.Username = "CN=ldapadmin,DC=nfa,DC=local";       
            entry.Password = "P@ssw0rd";
            entry.AuthenticationType = AuthenticationTypes.SecureSocketsLayer;

我也试过这样：

DirectoryEntry entry2 = new DirectoryEntry("LDAP://2.2.2.2:636/DC=nfa,DC=local", "CN=ldapadmin,DC=nfa,DC=local", "P@ssw0rd", AuthenticationTypes.SecureSocketsLayer);

【问题讨论】：

我也试过这样： DirectoryEntry entry2 = new DirectoryEntry("LDAP://2.2.2.2:636/DC=nfa,DC=local", "CN=ldapadmin,DC= nfa,DC=local", "P@ssw0rd", AuthenticationTypes.SecureSocketsLayer);
有需要打开的端口吗？
我相信端口是开放的，因为我可以通过 adsi 编辑器通过端口 636 登录。因此有点沮丧。
端口和权限是我唯一能记住的，它们在我的 AD 项目中给我带来了这些问题......对不起。
您能否将您的最后一条评论作为答案，它可以对其他人有所帮助。

标签： asp.net .net wcf active-directory

【解决方案1】：

服务器需要安装meets the documented requirements 的 SSL 证书。测试与 LDP 的连通性。您将需要使用机器的完全限定域名进行连接。将上面的 IP 地址替换为 FQDN，您应该已经设置好了。

【讨论】：

【解决方案2】：

正如@ColinBowern 提到的，您需要提供完全限定域名 (FQDN) 而不是 IP，因为证书已颁发给 FQDN。

首先，验证在远程机器上注册到 AD LDS 的证书是否正确安装：

运行certmgr。
验证颁发证书的证书颁发机构 (CA) 是否存在于 Trusted Root Certification Authority\Certificates 存储中。
验证证书是否存在于Personal\Certificates 存储中，具有正确的 FQDN（远程计算机的域名），由上述 CA 颁发，类型为“服务器身份验证”。

其次，由于 DNS 注册错误，FQDN 可能无法正确解析到远程计算机。验证本地计算机的 hosts 文件（位于 C:\Windows\System32\drivers\etc）是否将正确的 IP 映射到 FQDN（如证书名称中所示）。如果不存在条目，则需要添加，

192.168.1.34    domain.name    # <-- FQDN as shown in the certificate

【讨论】：