はじめまして質問させていただきます。
Windows 2008 Server R2でLDAPs接続の実績があるのですが
Windows 2012 R2(機能レベル:Windows 2008 R2)環境に移行後、
接続できなくなりました。
類似の報告が、
https://social.technet.microsoft.com/Forums/office/en-US/b6ffa278-4a04-4609-ac35-8390f5ba9cb6/ldap-over-ssl-on-windows-2012r2-server-dcs-tls-12-not-working?forum=winserversecurity
にありましたが、当方で使っている暗号化スィート
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
では、接続できないのでしょうか?
WindowsのLDAPおよびSChannelのイベントログを確認したところ
(192.168.0.102は、LDAPsに接続を試みるクライアントです。)
LDAPのイベント
Internal event: An LDAP over Secure Sockets Layer(SSL) connection
could not be established with a client.
Client network address:
192.168.0.102:53501
Protocol:
TCP
Additional Data
error value:
2148074289 クライアントとサーバーは共通のアルゴリズムを
処理していないので、通信できません。
Internal ID:
c050714
Internal event: The LDAP serverreturmed an error.
Additional Data
Error value:
00000003: LdapErr: DSID-0C060454, comment: Errordecrypting ldap
message, data 0, v2580
Internal event: An LDAP client connection was closed because of an error.
Client IP:
192.168.0.102:53501
Additional Data
Error value:
3 指定されたパスが見つかりません。
Internal ID:
c06044e
SChannelのイベント
イベントID:36874
リモートクライアントアプリケーションからTLS1.2接続要求を
受信しましたが、クライアントでサポートされている暗号が
サーバーでサポートされていません。SSL接続要求は失敗しました。
イベントID:36888
致命的な警告が生成され、リモートエンドポイントに送信されました。
これにより、接続が終了される可能性があります。
TLSプロトコルで定義されているこの致命的な警告コードは40です。
Windows SChannelエラーの状態は1205です。
なにぶんにもSSL/TLSの基礎知識が乏しく、今まで接続できていたものが
繋がらなくなると、途端に、慌てます。
何か追加で調査すべき事柄ありますでしょうか?
ネットワーク・キャプチャして、最初の利用する暗号化スィートの
クライアントとサーバーの合意形成時点で、切断されたような
調査はしてみました。
また、暗号化スィートの優先順位を設定する事も、やってみました。
根本を理解していないので、あてずっぽうで、解決するわけないですが、
なにかヒントありましたら、よろしくお願いいたします。