简介

本文档介绍如何在配置安全套接字层(SSL)时排除Cisco Jabber目录搜索问题。

作者：Khushbu Shaikh，Cisco TAC工程师。苏米特·帕特尔、贾斯梅特·桑杜编辑

先决条件

要求

Cisco 建议您了解以下主题：

• Windows 版 Jabber
• Wireshark

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

配置SSL时，Jabber目录搜索不起作用。

Jabber日志分析 

Jabber日志显示以下错误：

Directory searcher LDAP://gbllidmauthp01.sealedair.corp:389/ou=Internal,ou=Users,o=SAC not found, adding server gbllidmauthp01.sealedair.corp to blacklist.

2016-10-21 08:35:47,004 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - Using custom credentials to connect [LDAP://gbllidmauthp02.sealedair.corp:389] with tokens [1]



2016-10-21 08:35:47,138 DEBUG [0x000034ec] [rdsource\ADPersonRecordSourceLog.cpp(50)] [csf.person.adsource] [WriteLogMessage] - ConnectionManager::GetDirectoryGroupSearcher - failed to get a searcher - COMException [0x80072027]

数据包捕获分析 

在此数据包捕获中，可以看到到Active Directory(AD)服务器的传输控制协议(TCP)连接成功，但客户端与轻量目录访问协议(LDAP)服务器之间的SSL握手失败。这会导致Jabber发送FIN消息，而不是用于通信的加密会话密钥。

  

即使已签名的AD证书上传到客户端PC的信任存储，问题仍然存在。

对数据包捕获的进一步分析显示，AD服务器证书的“增强密钥使用”(Enhanced Key Usage)部分中的“服务器身份验证”(Server Authentication)已消失。

解决方案

已使用“增强密钥使用”中的服务器身份验证解决了该问题的证书重新创建方案。请参阅证书的映像以进行比较。

证书中的服务器身份验证标识符是成功SSL握手的先决条件。

相关信息

https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc