境界ネットワークのServer2012 R2CoreでADRODCを実行しています。 LDAPSベースの認証を実行できる外部/ホストアプリケーションにこれを使用しています。私の問題は、サーバーのFQDNが内部のみの名前(rodc-01.company.local)であるということです。フレンドリ名(auth.company.com)の外部DNSと外部DNSにAレコードがあります。ポート389を介した通常の非SSLLDAPトラフィックが、内部アプリケーションと外部アプリケーションの両方で正常に機能することをすでに確認しました。
理想的には、LDAPSのみを使用したいのですが、Microsoftによると、サーバーのFQDNは、共通名または証明書のSAN)のいずれかである必要があります。これを使用する必要がある場合外部アプリケーションでは、信頼できるサードパーティの証明書が必要です。auth.company.comのGoDaddyから取得しました。RODCは証明書の認識を拒否します(CAPI2ログはホスト名の不一致エラーを提供します)。信頼できるサードパーティの証明書プロバイダー.localドメインの証明書を発行しないでください。これを回避する方法はありますか?内部CAインフラストラクチャから証明書を発行できますが、外部アプリケーションは証明書を信頼しておらず、すべてのアプリケーションが有効になっているわけではないため、接続を拒否します私は彼らに信頼できる証明書を提供します。
誰かがこの仕事をする知識や経験を持っていますか? Microsoftは、この要件をLDAPSに課すことにより、私たちを真の束縛状態に置きました。
投稿の力...ついに見つけた この記事 :
基本的に、これを行うには、NTDSサービスの証明書ストアに証明書を持っている必要があります。問題は、サーバーコアボックスで、Microsoftがこれを行うための公式ユーティリティ/ツールをまったく提供していないことです。秘密鍵を使用して証明書をNTDS証明書ストアにリモートで追加することはできません。また、コアボックスからMMCスナップインを使用することも、certutil.exeまたは組み込みのPowerShellコマンドレットを使用することもできません。 LocalMachineと現在のユーザー以外のものを操作します。
証明書に関連するレジストリキーをLocalMachineストアからエクスポートしてから、それらの設定をレジストリのNTDS証明書ストアのレジストリの場所にインポートする必要があります。
再起動後、auth.company.comへのLDAPS接続は問題なく受け入れられました。