Windows Server 2019 の Active Directory で LDAPS を有効化する手順を整理します。LDAPS は、ドメインコントローラーと LDAP クライアント間の通信を TLS で暗号化するための仕組みです。
Active Directory では、ドメインコントローラーに要件を満たすサーバー証明書が入ると、LDAP サービスが TCP 636 で SSL/TLS 接続を受け付けるようになります。この記事では、AD CS を使って証明書基盤を追加し、LDAPS を利用できる状態にする流れをまとめます。
LDAPS で必要になるもの
LDAPS は、単に TCP 636 が開いていれば使えるわけではありません。ポートが Listen していても、ドメインコントローラーが適切な証明書を提示できなければ、TLS ハンドシェイクやクライアント側の検証で失敗します。
| 項目 | 内容 |
|---|---|
| 通信ポート | LDAP over SSL は TCP 636、Global Catalog over SSL は TCP 3269 を使う |
| 証明書の用途 | Enhanced Key Usage に Server Authentication が必要 |
| 証明書の名前 | 証明書の CN または SAN にドメインコントローラーの FQDN が必要 |
| 信頼 | クライアントが発行元 CA を信頼している必要がある |
| 適用先 | 証明書はドメインコントローラー側で利用できる必要がある |
AD CS を使う構成
社内の Active Directory 環境では、Active Directory 証明書サービス (AD CS) を使ってエンタープライズ CA を構成すると、ドメインコントローラーやドメイン参加端末に証明書を配布しやすくなります。
小規模な検証環境では、ドメインコントローラー上に AD CS を追加して動かすこともあります。ただし、本格運用では CA の配置、ルート CA / 中間 CA、秘密鍵保護、バックアップ、証明書失効リストなども設計対象になります。
サーバーマネージャーで AD CS を追加する
ここでは、Windows Server 2019 のサーバーマネージャーから Active Directory 証明書サービスを追加し、証明機関を構成する流れを文字ベースで整理します。
役割の追加
- Windows Server に管理者権限でログインし、サーバーマネージャーを開く。
- 「役割と機能の追加」を開始する。
- インストールの種類は、通常は「役割ベースまたは機能ベースのインストール」を選ぶ。
- 対象サーバーとして、AD CS を追加する Windows Server を選択する。
- サーバーの役割で「Active Directory 証明書サービス」を選択し、必要な機能を追加する。
- 役割サービスでは、少なくとも「証明機関」を選択する。
- 確認画面で内容を確認し、インストールを開始する。
AD CS の構成
- インストール完了後、「対象サーバーに Active Directory 証明書サービスを構成する」を開く。
- 構成に使用する資格情報を確認する。通常はドメイン管理権限を持つアカウントで構成する。
- 役割サービスとして「証明機関」を選択する。
- セットアップの種類は、ドメイン環境で利用する場合は「エンタープライズ CA」を選ぶ。
- CA の種類は、検証環境や単一 CA 構成では「ルート CA」を選ぶ。
- 秘密キーは「新しい秘密キー」を作成する。
- 暗号化設定、CA 名、有効期限、CA データベースの保存場所を確認する。
- 確認画面で内容を確認し、構成を実行する。
設定値の考え方
検証環境であれば、ウィザードの既定値でも LDAPS の確認はできます。ただし、本番環境では CA の有効期限、秘密鍵の保護、バックアップ、証明書テンプレート、失効リスト、CA をドメインコントローラー上に置くかどうかを設計する必要があります。
LDAPS の目的は、ドメインコントローラーが LDAP over SSL/TLS で利用できる証明書を提示できるようにすることです。AD CS の追加はそのための手段であり、最終的にはドメインコントローラー証明書が要件を満たしているかを確認します。
再起動後に LDAPS を確認する
ウィザード完了後は、Windows Server を再起動します。証明書サービスを構成してドメインコントローラーが適切な証明書を利用できる状態になると、AD DS の LDAP サービスが LDAPS を受け付けます。
なお、TCP 636 が Listen しているように見えても、証明書が適切でなければ LDAPS は成功しません。ポート疎通と LDAPS の成功は別物として確認する必要があります。
Test-NetConnection dc01.example.com -Port 636Windows から確認する場合は、LDP.exe でドメインコントローラーの FQDN とポート 636 を指定し、SSL を有効にして接続します。Linux などから確認する場合は、証明書チェーンを信頼できる状態にした上で OpenSSL や ldapsearch を使って確認します。
openssl s_client -connect dc01.example.com:636 -showcerts失敗しやすいポイント
- ドメインコントローラーの FQDN と証明書の CN / SAN が一致していない
- Server Authentication 用途の証明書になっていない
- クライアントが CA 証明書を信頼していない
- IP アドレスで接続しており、証明書名検証に失敗している
- TCP 636 の疎通だけを見て、TLS の証明書検証を確認していない
- 複数 DC 環境で、一部の DC にだけ証明書が入っている
特に、LDAPS クライアント側ではドメインコントローラーの FQDN で接続するのが基本です。IP アドレスや別名で接続すると、証明書の名前検証で失敗する可能性があります。
まとめ
Windows Server 2019 の Active Directory で LDAPS を有効化する場合、重要なのは AD CS を追加すること自体ではなく、ドメインコントローラーが LDAPS 用件を満たす証明書を提示できる状態にすることです。
LDAPS は TCP 636 の疎通だけでは判断できません。証明書の用途、FQDN、信頼チェーン、クライアント側の検証まで含めて確認する必要があります。AD CS を使う場合も、証明書基盤としての運用設計を意識しておくことが重要です。
書籍
ひと目でわかるActive Directory Windows Server 2025版
Active Directory の概念、導入、構成管理、関連サービスを画面手順で確認したい場合の参考書籍です。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
参考
- Microsoft Learn – Active Directory Domain Services で SSL 経由で LDAP の証明書を構成する
- Microsoft Learn – Troubleshoot LDAP over SSL connection problems
- Microsoft Learn – Service overview and network port requirements
Related posts:
Windows Server 2019 Active Directory の LDAP を確認する
Windows Server 2019 Active Directory の構築手順 – AD DS とドメイン コントローラー昇格
Windows 7 ディスプレイドライバの応答停止と回復
Windows 7 Java 64bit 版
Windows コンピュータ一覧と WINS の関係
Windows 10 hosts を編集するには
Windows 10 スタティックルート設定
CentOS 8 Windows から公開鍵認証で SSH 接続する
Windows 10 ASUS のマザーボードで UEFI セキュアブートを有効化
Windows iCloudと連携で要確認と表示される場合の対処
Apache Directory StudioでLDAPユーザー管理
CentOS 8 389 Directory Server 構築 #3 – BIND ユーザーとアクセス制御