今天碰到一个关于IIS不能访问域服务器的问题。经过调查,发现是域控制器上的证书出了问题。
网络环境:
IIS服务器:
- IIS 6.0
- Windows Server 2003 SP2
域控制器:
- Windows Server 2003 SP2
域中只有一台域控制器,IIS服务器没有在域中。IIS通过LDAP over SSL和域控制器交互。
问题定位:
由于是第一次诊断AD相关问题,所以按着常规进行如下检查:
- Event Viewer中有Schannel的相关错误;
- 使用非SSL的LDAP可以访问AD。
所以问题应该是和SSL相关的,于是开始Google,找到下面文章:
http://support.microsoft.com/kb/321051/en-us/
http://support.microsoft.com/?scid=kb;en-us;938703&x=6&y=7
http://technet.microsoft.com/en-us/library/cc725767(WS.10).aspx
http://www.verisign.com/ssl/ssl-information-center/how-ssl-security-works/
由于这里的通信只发生在IIS和AD之间,所以这里使用的证书可以直接由AD服务器颁发。在制作证书的时候关键就是CN一定要设置成AD服务器的CN,别的参数都无所谓。