閱讀本文：https ://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

第一種方法最簡單：在域控制器上安裝企業根 CA 時會自動啟用 LDAPS。如果您在 DC 上安裝 AD-CS 角色並將設置類型指定為“企業”，則林中的所有 DC 將自動配置為接受 LDAPS。

真的嗎？如果我在單個 DC 上安裝證書服務，域中的所有 DC 都接受 LDAPS？它們是否都自動註冊證書，或者是否所有 LDAPS 請求都被定向回安裝了根 ca 的 DC？如果我從 DC 解除安裝 root ca 會發生什麼？

我必須啟用 ldaps，如果我只是在 DC 上安裝根 CA，我完成了嗎？

我了解安全隱患，但對於我的小環境來說，這將是更可取的途徑。

一般答案

一般來說，是的，除非有任何與網路相關的配置，例如 LDAPS 協議 (:636) 與 LDAP 協議 (:389) 的防火牆訪問。

在標準的 Active Directory 集成證書頒發機構安裝中，您的域控制器將獲得基於域控制器證書模板的證書，其中包括作為預期目的的伺服器身份驗證 OID。任何包含此 OID 的有效證書都將自動被 Schannel 服務拾取並綁定到 LDAPS (:636)。

刪除此證書或缺少正確的伺服器身份驗證證書，將導致警告事件每秒記錄在 Schannel 源下的事件查看器的安全日誌中。

主題備用名稱支持

一個常見的警告是需要為 LDAPS 證書提供適當的主題備用名稱支持。預設域控制器證書模板不包括證書 SAN 名稱。如果您的domain.com帶有名為dc1.domain.com和dc2.domain.com的域控制器，則對**domain.com的LDAPS (:636) 呼叫將使用響應域控制器的證書 ( dc1.domain.com或dc2.domain.com）。許多應用程序和協議會將其視為安全威脅和錯誤輸出。

為 LDAPS 啟用 SAN 支持

1. 撤銷和刪除域控制器上標準頒發的域控制器證書。
2. 確保域控制器模板的安全標記為允許讀取權限，但刪除域控制器、企業域控制器和只讀域控制器的註冊和/或自動註冊權限。
3. 複製 Kerberos 身份驗證模板，其中包含伺服器身份驗證 OID 等。

• 確保此模板允許導出密鑰，並且主題名稱不是從 Active Directory 建構的，而是標記為在請求中提供。
• 確保證書模板的安全性允許域控制器、企業域控制器和只讀域控制器同時讀取和註冊。

4. 發布您新創建的證書模板。
5. 登錄到每個域控制器，從您的模板中請求一個新證書，並將以下內容設置為命名資訊（例如dc1.domain.com）：

• 通用名稱：dc1.domain.com
• SAN：dc1.domain.com、dc1、domain.com和domain。

6. 重新啟動每個域控制器（並非總是需要，但為了更好的措施）並驗證事件查看器的安全通道不再拋出有關未找到合適證書的警告。

獎金資訊

如何在內部快速驗證 LDAPS 連接？

1. 登錄到域控制器。
2. 啟動 LDP.exe。
3. 打開與域控制器名稱、IP 地址或域名本身的新連接。

• 埠：636
• SSL：檢查

4. 結果將讓您知道您是否已連接以及連接到什麼域控制器的上下文。

如何快速查看我目前的 Schannel/LDAPS 證書？

1. 下載和/或訪問 OpenSSL。
2. openssl.exe -s_client domain.com:636
3. 如果連接成功打開，則日誌的開頭部分將顯示連接詳細資訊。
4. 複製整個-----BEGIN CERTIFICATE...通過...END CERTIFICATE-----部分。
5. 將此粘貼到記事本中並將其另存為certificate.cer。
6. 打開certificate.cer以查看 Schannel/LDAPS 提供的證書。

如果我使用 LDAPS (:636) 可以阻止所有 LDAP (:389) 流量嗎？

是和不是。是的; 您可以在所有南北流量（內部和外部之間）上阻止 LDAP (:389)。不; 您不能在東西流量（內部和內部之間）上阻止 LDAP (:389)。LDAP (:389) 對於 Active Directory 中的某些複製功能至關重要。這些活動使用 Kerberos 的簽名和密封來保護。

抱歉缺少精確的步驟或螢幕截圖。我現在不在一個可以提供它們的環境中。

引用自：https://serverfault.com/questions/975933