AD LDS 服務帳戶作為本地管理員允許 SSL 連接?
我正在 Windows 2012 vm 上安裝 Active Directory 輕量級目錄服務(AD LDS,又名 ADAM)。在最終處理完目錄的配置和同步之後,我現在遇到了一個有趣的問題。我已經在網上研究了幾個小時,我可以參考一些專家的建議。
當我使用“網路服務”帳戶作為我的 LDS 實例的服務帳戶時,我根本無法在 SSL 埠(我將其保留為預設值 636)上啟動連接。我們可以連接到非 SSL 埠 389。域服務帳戶“ADLDSSRVC”也是如此。
當我使用我的個人域憑據作為服務帳戶時,我們可以在非 SSL 埠上使用非 SSL 連接,在 SSL 埠上使用 SSL 連接。在 SSL 連接上,我們可以通過代理綁定重定向使用 AD DS 帳戶綁定到 LDS。我的域帳戶在主機上具有本地管理員權限。
我是否需要將域服務帳戶“ADLDSSRVC”設為本地管理員?如果我不能只給它我需要的權限,我的老闆只想把它作為最後的手段。更具體地說,如果可能的話,我想知道服務帳戶需要哪些權限才能使 SSL ldap 連接到我的 AD LDS 實例。Technet 文章指出ADLDS 服務帳戶需要創建、讀取和修改對 %ProgramFiles%\Microsoft ADAM\instancename\data 的訪問權限,但這似乎對打開埠 636 沒有影響。
Blog.uvm.edu告訴您執行以下操作:打開 AD 使用者和電腦工具,找到您安裝實例的電腦對象。將 LDS 服務帳戶“創建所有子對象”賦予電腦對象。我不是域管理員,所以我不能這樣做。這與將服務帳戶設置為本地管理員基本相同嗎?
在 Ryan Ries 的回答的基礎上,這是我在不將“domain\adldssrvc”設置為管理員帳戶的情況下解決問題的方法:
授予服務帳戶對本地電腦證書的權限
通過執行
mmc並添加本地電腦的證書管理單元來打開證書儲存。
右鍵點擊其中的證書
Certificates (Local Computer)\Personal\Certificates\並選擇All Tasks\Manage Private Keys.
這會拉出一個看起來很正常的權限螢幕。只需添加適當的使用者並賦予它對這些私鑰的完全控制權。
請記住在進行此更改後重置 LDS 服務!(服務.msc)
這聽起來像是 AD LDS 服務無法訪問設置 LDAPS 所需的證書的情況,當您將 AD LDS 設置為使用無權使用本地電腦\個人證書儲存的服務帳戶時.
來自微軟知識庫:
對於 AD LDS,將證書放入與 AD LDS 實例而不是 NTDS 服務對應的服務的個人證書儲存中。
所以使用 MMC 並添加證書管理單元。選擇“服務帳戶”作為證書儲存以查看並選擇安裝在該電腦上的 AD LDS 服務。您的 SSL 證書需要安裝在那裡。