Amazon web services 受信任域之间的Active Directory LDAP_Amazon Web Services_Ssl_Active Directory_Ldap_Keystore

Amazon web services 受信任域之间的Active Directory LDAP

amazon-web-services ssl active-directory ldap

Amazon web services 受信任域之间的Active Directory LDAP,amazon-web-services,ssl,active-directory,ldap,keystore,Amazon Web Services,Ssl,Active Directory,Ldap,Keystore,我正在尝试在两个域控制器domainA.com和domainB.com之间配置LDAP。我们配置了单向信任，以便domainB.com有权查看位于domainA.com的用户帐户。DomainA.com有多个SSL证书：根证书、中间证书，以及每个域控制器的多个证书我正在寻求有关完成过程步骤的反馈，因为我觉得在上传证书时我遗漏了一些东西。我已经在下面详细说明了我所采取的步骤根据我的研究，通过LDAP实现这些控制器之间连接的过程如下：注：步骤3-5基于以下链接文章打开域控制器之间的端口（已完

我正在尝试在两个域控制器domainA.com和domainB.com之间配置LDAP。我们配置了单向信任，以便domainB.com有权查看位于domainA.com的用户帐户。DomainA.com有多个SSL证书：根证书、中间证书，以及每个域控制器的多个证书

我正在寻求有关完成过程步骤的反馈，因为我觉得在上传证书时我遗漏了一些东西。我已经在下面详细说明了我所采取的步骤

根据我的研究，通过LDAP实现这些控制器之间连接的过程如下：

注：步骤3-5基于以下链接文章

打开域控制器之间的端口（已完成）

建立单向信任（已完成）

从domainA.com域控制器导出证书（已完成）

将.cer文件加载到domainB.com并将其添加到java密钥库（已完成）

使用ldp.exe工具建立636连接（失败）

我是Active Directory新手，不熟悉如何启用LDAPS。在的LDAPS部分中，我执行了以下步骤在domainB.com上配置LDAPS：

已安装Active Directory证书服务和证书颁发机构

将.cer文件从domainA.com添加到domainB.com服务器的Java密钥库中

使用ldp.exe工具测试连接（389（LDAP）连接成功，636（LDAPS）连接失败）

使用PortQryUI工具进行的附加验证检查表明，域控制器之间的所有端口都已打开

环境：AWS和Prem

域控制器

domainA.com-本地AD域控制器（由其他人控制）

domainB.com-AWS AD域控制器（由我控制）

您正在测试的计算机必须信任证书（开始菜单->管理计算机证书->受信任的根证书颁发机构）。如果我没记错的话，每次ldp.exe尝试连接并由于证书错误而失败时，事件查看器（系统日志）中可能会出现错误

如果要测试证书是否可信，可以使用PowerShell从下载证书。只需使用

https://domainA.com:636

作为“网站”

然后双击

domainA.com.cer

（在您运行此代码的文件夹中）查看它。如果它不可信，它会给你一个很大的警告。你的目标是能够看到它，并让它说它是可信的

$webRequest = [Net.WebRequest]::Create("https://domainA.com:636")
try { $webRequest.GetResponse() } catch {}
$cert = $webRequest.ServicePoint.Certificate
$bytes = $cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Cert)
set-content -value $bytes -encoding byte -path "domainA.com.cer"