Comment configurer le protocole LDAPS dans Active Directory 2026

Tout d'abord, nous devons installer AD CS pour créer notre autorité de certification interne. Cela nous permettra de délivrer des certificats SSL pour LDAPS.

Ouvrez le Gestionnaire de serveur et cliquez sur Ajouter des rôles et fonctionnalités. Sélectionnez Installation basée sur un rôle ou une fonctionnalité et choisissez votre serveur dans le pool.

Sur la page Rôles de serveur, cochez Services de certificats Active Directory :

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Après l'installation, vous verrez un drapeau de notification dans le Gestionnaire de serveur. Cliquez dessus et sélectionnez Configurer les services de certificats Active Directory sur le serveur de destination.

Dans l'assistant de configuration :

• Utilisez les informations d'identification de l'administrateur de domaine actuel
• Cochez Autorité de certification sur la page Services de rôle
• Sélectionnez CA d'entreprise (pas Autonome)
• Choisissez CA racine si c'est votre première CA
• Créez une nouvelle clé privée avec les paramètres par défaut

Vérification : Ouvrez certsrv.msc et confirmez que la console de l'autorité de certification s'ouvre sans erreurs.

Nous allons maintenant créer un modèle de certificat spécifiquement pour LDAPS. Cela garantit que nos certificats ont les propriétés correctes pour l'authentification du contrôleur de domaine.

Ouvrez la console de l'Autorité de Certification (certsrv.msc) et développez votre CA. Faites un clic droit sur Modèles de certificats et sélectionnez Gérer.

Dans la console des Modèles de certificats :

1. Faites un clic droit sur le modèle Ordinateur et sélectionnez Dupliquer le modèle
2. Dans l'onglet Général, définissez le nom d'affichage du modèle sur Modèle LDAPS
3. Définissez la période de validité à 2 ans (ou selon la politique de votre organisation)
4. Dans l'onglet Gestion des demandes, cochez Autoriser l'exportation de la clé privée
5. Dans l'onglet Nom du sujet, sélectionnez Fournir dans la demande
6. Dans l'onglet Sécurité, ajoutez le groupe Contrôleurs de domaine avec les autorisations Lire et S'inscrire

Cliquez sur OK pour créer le modèle.

De retour dans la console CA, faites un clic droit sur Modèles de certificats, sélectionnez Nouveau > Modèle de certificat à émettre, et choisissez votre Modèle LDAPS.

Vérification : Le Modèle LDAPS devrait apparaître dans le dossier Modèles de certificats de votre CA.

Sur chaque contrôleur de domaine, nous devons demander et installer un certificat LDAPS. Le certificat doit inclure le FQDN du DC dans le champ sujet ou SAN.

Sur le contrôleur de domaine, ouvrez la Console de gestion Microsoft :

mmc.exe

Ajoutez le composant logiciel enfichable Certificats :

1. Fichier > Ajouter/Supprimer un composant logiciel enfichable
2. Sélectionnez Certificats et cliquez sur Ajouter
3. Choisissez Compte d'ordinateur et Ordinateur local
4. Cliquez sur Terminer et OK

Accédez à Certificats (Ordinateur local) > Personnel > Certificats. Faites un clic droit sur Certificats et sélectionnez Toutes les tâches > Demander un nouveau certificat.

Dans l'assistant d'inscription de certificat :

1. Cliquez sur Suivant deux fois pour atteindre la page de sélection de certificat
2. Cochez la case pour le Modèle LDAPS
3. Cliquez sur le lien Plus d'informations requises
4. Dans l'onglet Sujet, définissez le Type sur Nom commun et la Valeur sur le FQDN de votre DC (par exemple, dc01.contoso.com)
5. Dans l'onglet Nom alternatif, définissez le Type sur DNS et la Valeur sur le même FQDN
6. Cliquez sur OK puis sur Inscrire

Vérification : Vérifiez qu'un nouveau certificat apparaît dans le magasin Personnel > Certificats avec le FQDN de votre DC comme sujet.

Après avoir installé le certificat, Active Directory doit recharger sa configuration SSL pour commencer à utiliser le nouveau certificat pour les connexions LDAPS.

La méthode la plus propre est de redémarrer le contrôleur de domaine, mais vous pouvez également recharger le certificat sans temps d'arrêt en utilisant PowerShell :

# Arrêter et démarrer les services de domaine Active Directory
Stop-Service NTDS -Force
Start-Service NTDS

Alternativement, vous pouvez redémarrer uniquement les services concernés :

# Redémarrer les services qui gèrent LDAP/LDAPS
Restart-Service NTDS -Force
Restart-Service DNS -Force

Pour un environnement de production, l'approche la plus sûre est un redémarrage planifié :

shutdown /r /t 300 /c "Redémarrage pour l'activation du certificat LDAPS"

Après le redémarrage, vérifiez le journal des événements système pour toute erreur liée au certificat :

Get-EventLog -LogName System -Source "NTDS General" -Newest 10

Vérification : Recherchez l'ID d'événement 1220 dans le journal des services d'annuaire, ce qui indique que LDAPS est activé avec succès.

Nous allons maintenant vérifier que LDAPS fonctionne correctement en utilisant l'outil d'administration LDAP intégré. C'est le moyen le plus fiable de tester la connectivité LDAPS.

Ouvrez l'outil d'administration LDAP :

ldp.exe

Dans Ldp.exe :

1. Cliquez sur Connection > Connect
2. Entrez le FQDN de votre contrôleur de domaine (par exemple, dc01.contoso.com)
3. Réglez le Port sur 636
4. Cochez la case SSL
5. Cliquez sur OK

Si cela réussit, vous verrez les informations RootDSE affichées dans le volet droit, similaires à :

ld = ldap_sslinit("dc01.contoso.com", 636, 1);
ldap_set_option(ld,LDAP_OPT_PROTOCOL_VERSION,3);
Connected to dc01.contoso.com.
The connection is established.

Ensuite, authentifiez la connexion :

1. Cliquez sur Connection > Bind
2. Laissez Domaine, Utilisateur et Mot de passe vides pour une liaison anonyme, ou entrez les identifiants
3. Cliquez sur OK

Vous pouvez également tester depuis la ligne de commande en utilisant PowerShell :

# Test LDAPS connectivity
$ldapConnection = New-Object System.DirectoryServices.DirectoryEntry("LDAPS://dc01.contoso.com:636")
try {
    $ldapConnection.RefreshCache()
    Write-Host "LDAPS connection successful" -ForegroundColor Green
} catch {
    Write-Host "LDAPS connection failed: $($_.Exception.Message)" -ForegroundColor Red
}

Vérification : Une connexion réussie affiche les données RootDSE et aucune erreur SSL/TLS dans la fenêtre de sortie de Ldp.exe.

Pour des tests complets, surtout dans des environnements mixtes, utilisez OpenSSL pour valider la chaîne de certificats et la force du chiffrement.

Depuis une machine Linux ou Windows avec OpenSSL installé :

# Tester la connexion LDAPS et afficher les détails du certificat
openssl s_client -connect dc01.contoso.com:636 -showcerts

Cette commande affichera :

• Validation de la chaîne de certificats
• Suite de chiffrement utilisée
• Dates d'expiration du certificat
• Avertissements ou erreurs de certificat

Pour des tests automatisés, créez un script simple :

#!/bin/bash
DC_FQDN="dc01.contoso.com"
echo "Test du LDAPS sur $DC_FQDN..."

# Tester la connexion
echo "" | openssl s_client -connect $DC_FQDN:636 2>/dev/null
if [ $? -eq 0 ]; then
    echo "Connexion LDAPS réussie"
else
    echo "Échec de la connexion LDAPS"
fi

# Vérifier l'expiration du certificat
echo "" | openssl s_client -connect $DC_FQDN:636 2>/dev/null | openssl x509 -noout -dates

Vous pouvez également tester depuis Windows PowerShell en utilisant les classes .NET :

# Test LDAPS avancé avec validation de certificat
$ldapServer = "dc01.contoso.com"
$ldapPort = 636

try {
    $tcpClient = New-Object System.Net.Sockets.TcpClient($ldapServer, $ldapPort)
    $sslStream = New-Object System.Net.Security.SslStream($tcpClient.GetStream())
    $sslStream.AuthenticateAsClient($ldapServer)
    
    Write-Host "Connexion LDAPS établie" -ForegroundColor Green
    Write-Host "Protocole SSL : $($sslStream.SslProtocol)" -ForegroundColor Yellow
    Write-Host "Algorithme de chiffrement : $($sslStream.CipherAlgorithm)" -ForegroundColor Yellow
    Write-Host "Est chiffré : $($sslStream.IsEncrypted)" -ForegroundColor Yellow
    
    $sslStream.Close()
    $tcpClient.Close()
} catch {
    Write-Host "Échec du test LDAPS : $($_.Exception.Message)" -ForegroundColor Red
}

Vérification : OpenSSL devrait afficher "Verify return code: 0 (ok)" et montrer la chaîne complète de certificats sans erreurs.

Dans un environnement multi-DC, chaque contrôleur de domaine a besoin de son propre certificat LDAPS. Voici comment déployer efficacement des certificats sur tous les DC.

Tout d'abord, créez un script PowerShell pour automatiser les demandes de certificats sur tous les DC :

# Obtenir tous les contrôleurs de domaine
$DomainControllers = Get-ADDomainController -Filter *

foreach ($DC in $DomainControllers) {
    $DCName = $DC.HostName
    Write-Host "Traitement du DC : $DCName" -ForegroundColor Green
    
    # Créer une session distante
    $Session = New-PSSession -ComputerName $DCName
    
    # Demander un certificat sur le DC distant
    Invoke-Command -Session $Session -ScriptBlock {
        # Demander un certificat en utilisant certreq
        $RequestFile = "C:\temp\ldaps_request.inf"
        $CertFile = "C:\temp\ldaps_cert.cer"
        
        # Créer un fichier de demande de certificat
        @"
[NewRequest]
Subject = "CN=$env:COMPUTERNAME.$env:USERDNSDOMAIN"
KeyLength = 2048
KeyAlgorithm = RSA
MachineKeySet = TRUE
RequestType = PKCS10

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Authentification serveur
"@ | Out-File -FilePath $RequestFile -Encoding ASCII
        
        # Soumettre la demande
        certreq -submit -config "CA01\Contoso-CA" $RequestFile $CertFile
        
        # Installer le certificat
        if (Test-Path $CertFile) {
            certreq -accept $CertFile
            Write-Host "Certificat installé sur $env:COMPUTERNAME"
        }
    }
    
    Remove-PSSession $Session
}

Pour les environnements équilibrés en charge, assurez-vous que les certificats incluent tous les noms DNS nécessaires :

# Demande de certificat avec plusieurs noms DNS
$RequestTemplate = @"
[NewRequest]
Subject = "CN=ldap.contoso.com"
KeyLength = 2048
KeyAlgorithm = RSA
MachineKeySet = TRUE
RequestType = PKCS10

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=ldap.contoso.com&"
_continue_ = "dns=dc01.contoso.com&"
_continue_ = "dns=dc02.contoso.com&"
"@

Après le déploiement des certificats, redémarrez le service NTDS sur tous les DC :

# Redémarrer NTDS sur tous les contrôleurs de domaine
$DomainControllers = Get-ADDomainController -Filter *
foreach ($DC in $DomainControllers) {
    Write-Host "Redémarrage de NTDS sur $($DC.HostName)" -ForegroundColor Yellow
    Invoke-Command -ComputerName $DC.HostName -ScriptBlock {
        Restart-Service NTDS -Force
    }
}

Vérification : Testez la connectivité LDAPS à chaque contrôleur de domaine en utilisant la méthode Ldp.exe de l'étape 5, ou exécutez ce script de vérification :

# Tester LDAPS sur tous les DC
foreach ($DC in $DomainControllers) {
    try {
        $ldap = New-Object System.DirectoryServices.DirectoryEntry("LDAPS://$($DC.HostName):636")
        $ldap.RefreshCache()
        Write-Host "✓ LDAPS fonctionne sur $($DC.HostName)" -ForegroundColor Green
    } catch {
        Write-Host "✗ LDAPS a échoué sur $($DC.HostName) : $($_.Exception.Message)" -ForegroundColor Red
    }
}

Même avec une configuration appropriée, LDAPS peut rencontrer des problèmes. Voici les problèmes les plus courants et leurs solutions.

Erreurs de validation de certificat

Si les clients rencontrent des erreurs de validation de certificat, vérifiez les propriétés du certificat :

# Vérifier les détails du certificat
Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*$env:COMPUTERNAME*"} | Format-List Subject, Issuer, NotAfter, Extensions

Problèmes courants de certificat :

• Nom de sujet non correspondant : Le CN du certificat doit correspondre au FQDN utilisé pour se connecter
• Certificat expiré : Vérifiez la date NotAfter
• CA non approuvée : Installez votre certificat CA interne sur les machines clientes

Exigences de signature LDAP

Windows peut exiger une signature LDAP, provoquant des erreurs "Authentification forte requise". Vérifiez le paramètre actuel :

# Vérifier les exigences de signature LDAP
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity"

Valeurs : 0 = Aucune, 1 = Négocier la signature, 2 = Exiger la signature

Pour modifier les exigences de signature LDAP :

# Définir la signature LDAP pour négocier (recommandé)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 1
Restart-Service NTDS -Force

Problèmes de port et de pare-feu

Vérifiez que LDAPS écoute sur le port 636 :

netstat -an | findstr :636

Vérifiez les règles du pare-feu Windows :

# Vérifier si le port LDAPS est autorisé
Get-NetFirewallRule -DisplayName "*LDAP*" | Get-NetFirewallPortFilter

Créer une règle de pare-feu si nécessaire :

# Autoriser LDAPS à travers le pare-feu
New-NetFirewallRule -DisplayName "LDAPS-In" -Direction Inbound -Protocol TCP -LocalPort 636 -Action Allow

Analyse des journaux d'événements

Vérifiez les erreurs liées à LDAPS dans les journaux d'événements :

# Vérifier les erreurs de certificat et LDAPS
Get-WinEvent -FilterHashtable @{LogName='System'; ID=1220,1221,1222} -MaxEvents 10
Get-WinEvent -FilterHashtable @{LogName='Directory Service'; ID=1220,1221} -MaxEvents 10

Vérification : Utilisez le script de test complet pour valider tous les aspects de votre configuration LDAPS :

# Vérification complète de la santé LDAPS
function Test-LDAPS {
    param([string]$DomainController)
    
    Write-Host "Test de LDAPS sur $DomainController" -ForegroundColor Cyan
    
    # Tester la connectivité du port
    $portTest = Test-NetConnection -ComputerName $DomainController -Port 636 -WarningAction SilentlyContinue
    if ($portTest.TcpTestSucceeded) {
        Write-Host "✓ Le port 636 est accessible" -ForegroundColor Green
    } else {
        Write-Host "✗ Le port 636 n'est pas accessible" -ForegroundColor Red
        return
    }
    
    # Tester la connexion LDAPS
    try {
        $ldap = New-Object System.DirectoryServices.DirectoryEntry("LDAPS://$DomainController:636")
        $ldap.RefreshCache()
        Write-Host "✓ Connexion LDAPS réussie" -ForegroundColor Green
    } catch {
        Write-Host "✗ Échec de la connexion LDAPS : $($_.Exception.Message)" -ForegroundColor Red
    }
}

# Tester tous les contrôleurs de domaine
Get-ADDomainController -Filter * | ForEach-Object { Test-LDAPS -DomainController $_.HostName }