一般答案

一般来说，是的，除非有任何与网络相关的配置，例如 LDAPS 协议 (:636) 与 LDAP 协议 (:389) 的防火墙访问。

在标准的 Active Directory 集成证书颁发机构安装中，您的域控制器将获得基于域控制器证书模板的证书，其中包括作为预期目的的服务器身份验证 OID。任何包含此 OID 的有效证书都将自动被 Schannel 服务拾取并绑定到 LDAPS (:636)。

删除此证书或缺少正确的服务器身份验证证书，将导致警告事件每秒记录在 Schannel 源下的事件查看器的安全日志中。

主题备用名称支持

一个常见的警告是需要为 LDAPS 证书提供适当的主题备用名称支持。默认域控制器证书模板不包括证书 SAN 名称。如果您的domain.com带有名为dc1.domain.com和dc2.domain.com的域控制器，则对domain.com的LDAPS (:636) 调用将使用响应域控制器的证书 ( dc1.domain.com或dc2.domain.com）。许多应用程序和协议会将其视为安全威胁和错误输出。

为 LDAPS 启用 SAN 支持

1. 撤销和删除域控制器上标准颁发的域控制器证书。
2. 确保域控制器模板的安全标记为允许读取权限，但删除域控制器、企业域控制器和只读域控制器的注册和/或自动注册权限。
3. 复制 Kerberos 身份验证模板，其中包含服务器身份验证 OID 等。
   • 确保此模板允许导出密钥，并且主题名称不是从 Active Directory 构建的，而是标记为在请求中提供。
   • 确保证书模板的安全性允许域控制器、企业域控制器和只读域控制器同时读取和注册。
4. 发布您新创建的证书模板。
5. 登录到每个域控制器，从您的模板中请求一个新证书，并将以下内容设置为命名信息（例如dc1.domain.com）：
   • 通用名称：dc1.domain.com
   • SAN：dc1.domain.com、dc1、domain.com和domain。
6. 重新启动每个域控制器（并非总是需要，但为了更好的措施）并验证事件查看器的安全通道不再抛出有关未找到合适证书的警告。

奖金信息

如何在内部快速验证 LDAPS 连接？

1. 登录到域控制器。
2. 启动 LDP.exe。
3. 打开与域控制器名称、IP 地址或域名本身的新连接。
   • 端口：636
   • SSL：检查
4. 结果将让您知道您是否已连接以及连接到什么域控制器的上下文。

如何快速查看我当前的 Schannel/LDAPS 证书？

1. 下载和/或访问 OpenSSL。
2. openssl.exe -s_client domain.com:636
3. 如果连接成功打开，则日志的开头部分将显示连接详细信息。
4. 复制整个-----BEGIN CERTIFICATE...通过...END CERTIFICATE-----部分。
5. 将此粘贴到记事本中并将其另存为certificate.cer。
6. 打开certificate.cer以查看 Schannel/LDAPS 提供的证书。

如果我使用 LDAPS (:636) 可以阻止所有 LDAP (:389) 流量吗？

是和不是。是的; 您可以在所有南北流量（内部和外部之间）上阻止 LDAP (:389)。不; 您不能在东西流量（内部和内部之间）上阻止 LDAP (:389)。LDAP (:389) 对于 Active Directory 中的某些复制功能至关重要。这些活动使用 Kerberos 的签名和密封来保护。

抱歉缺少精确的步骤或屏幕截图。我现在不在一个可以提供它们的环境中。