Windows-Server-2012

AD LDS 服務帳戶作為本地管理員允許 SSL 連接?

  • April 6, 2016

我正在 Windows 2012 vm 上安裝 Active Directory 輕量級目錄服務(AD LDS,又名 ADAM)。在最終處理完目錄的配置和同步之後,我現在遇到了一個有趣的問題。我已經在網上研究了幾個小時,我可以參考一些專家的建議。

當我使用“網路服務”帳戶作為我的 LDS 實例的服務帳戶時,我根本無法在 SSL 埠(我將其保留為預設值 636)上啟動連接。我們可以連接到非 SSL 埠 389。域服務帳戶“ADLDSSRVC”也是如此。

當我使用我的個人域憑據作為服務帳戶時,我們可以在非 SSL 埠上使用非 SSL 連接,在 SSL 埠上使用 SSL 連接。在 SSL 連接上,我們可以通過代理綁定重定向使用 AD DS 帳戶綁定到 LDS。我的域帳戶在主機上具有本地管理員權限。

我是否需要將域服務帳戶“ADLDSSRVC”設為本地管理員?如果我不能只給它我需要的權限,我的老闆只想把它作為最後的手段。更具體地說,如果可能的話,我想知道服務帳戶需要哪些權限才能使 SSL ldap 連接到我的 AD LDS 實例。Technet 文章指出ADLDS 服務帳戶需要創建、讀取和修改對 %ProgramFiles%\Microsoft ADAM\instancename\data 的訪問權限,但這似乎對打開埠 636 沒有影響。

Blog.uvm.edu告訴您執行以下操作:打開 AD 使用者和電腦工具,找到您安裝實例的電腦對象。將 LDS 服務帳戶“創建所有子對象”賦予電腦對象。我不是域管理員,所以我不能這樣做。這與將服務帳戶設置為本地管理員基本相同嗎?

在 Ryan Ries 的回答的基礎上,這是我在不將“domain\adldssrvc”設置為管理員帳戶的情況下解決問題的方法:

授予服務帳戶對本地電腦證書的權限

通過執行mmc並添加本地電腦的證書管理單元來打開證書儲存。

證書儲存

右鍵點擊其中的證書Certificates (Local Computer)\Personal\Certificates\並選擇All Tasks\Manage Private Keys.

證書的上下文菜單

這會拉出一個看起來很正常的權限螢幕。只需添加適當的使用者並賦予它對這些私鑰的完全控制權。

私鑰的權限

請記住在進行此更改後重置 LDS 服務!(服務.msc)

這聽起來像是 AD LDS 服務無法訪問設置 LDAPS 所需的證書的情況,當您將 AD LDS 設置為使用無權使用本地電腦\個人證書儲存的服務帳戶時.

來自微軟知識庫

對於 AD LDS,將證書放入與 AD LDS 實例而不是 NTDS 服務對應的服務的個人證書儲存中。

所以使用 MMC 並添加證書管理單元。選擇“服務帳戶”作為證書儲存以查看並選擇安裝在該電腦上的 AD LDS 服務。您的 SSL 證書需要安裝在那裡。

引用自:https://serverfault.com/questions/591086