重架了 Windows Server 2016 也安裝了 Windows AD 服務,

當網域伺服器架好, 預設的 389 port 就能正常連線, 讓第三方的軟體可以讀取網域的目錄服務,

但是如果要建立帳號、改密碼等, 則必須使用 LDAPS 連線, 預設 port 是636

安裝完 AD 服務後, 可以使用下列指令查 636 port 有沒有正常監聽中.

查了很多資料, 基本上應該都要先打照自己的憑證才行, 所以要先安裝 Active Directory Certificate Service

接下來，用內建的 ldp.exe 這支程式測試 636 port 連線

如果是這樣, 就是正常的

否則應該會看到連線失敗的畫面

可依以下步驟設定, 接下來開始了.....

選擇「開始/Windows 系統管理工具/憑證授權單位」

在憑證範本上面按滑鼠右鍵選擇「管理」, 即可啟動憑證範本主控台

選擇「動作/檢視物件識別碼」, 看看有沒有識別碼是 1.3.6.1.5.5.7.3.1 的物件

確認該物件有之後, 執行 Microsoft Management Console’ (MMC) , 在搜尋列打 mmc 即可找到這支程式

選擇「檔案/新增或移除嵌入式管理單元」, 然後選擇「憑證」, 接著按下「新增」

接著選擇「電腦帳戶」, 接著按「下一步/完成」

按下「確定」後, 選擇「憑證/個人/憑證」

在憑證上面按滑鼠右鍵, 選擇「所有工作/要求新憑證」

按「下一步」,然後下圖這項要打勾, 最後按下「註冊」.

好了, 接下來用 ldp.exe 再來試試

結果畫面就不一樣了..

日後可以開始寫第三方程式試看看了。

參考網頁來源：

https://www.tonylin.idv.tw/dokuwiki/doku.php/java:dalp:ad:enable_certificate

http://pdhewaju.com.np/2017/03/02/configuring-secure-ldap-connection-server-2016/