Zum Inhalt wechseln


Foto

Client - Server SLDAP

Windows Server 2012 R2

  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 pressi

pressi

    Newbie

  • 9 Beiträge

 

Geschrieben 19. Juni 2017 - 10:50

Hallo,

 

seit einigen Tagen funktioniert unser SLDAP (Port 636) Zugriff auf beide Domaincontroller nicht mehr, LDAP funktioniert.

Aufgefallen ist dies, da die SLDAP Auth per externer VPN Verbindung gescheitert ist.

 

Die SLDAP Verbindung zwischen den 2 DCs funktioniert fehlerfrei.

Eine SLDAP Verbindung von einem Windows Client zu einem der DCs scheitert. Die Firewall der DCs wurde testweise abgeschaltet. Routingprobleme auf Portebene konnten auch ausgeschlossen werden (Ereignisanzeige zeigt ja auch an, dass das Packet ankommt).

 

Bereits auschließen (zumindest theoretisch) konnten wir die Cipher Auswahl, wir haben hier Clientseitig und Serverseitig mehrere Ciphers gefunden, die eine Verbindung ermöglichen würden.

 

Anbei die Ereignisanzeige des Windows Servers und im Anhang dazu passend ein ucap Screenshot des Handshakes von VPN Server zu DC (welcher identisch ist mit einem Verbindungstest von Windows Client zu einem DC).

Computer:      DCxx.xx.xx
Beschreibung:
Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36874</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73563</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxx.xx.xx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="Protocol">TLS 1.2</Data>
  </EventData>
</Event>
Protokollname: System
Quelle:        Schannel
Datum:         19.06.2017 09:27:29
Ereignis-ID:   36888
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DCxx.xx.xx
Beschreibung:
Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36888</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73564</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxxx.xxx.xxx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="AlertDesc">40</Data>
    <Data Name="ErrorState">1205</Data>
  </EventData>
</Event>

Hat jemand einen Tip? Wir haben uns an dem Problem etwas festgefressen und uns gehen so langsam die Ideen aus.

 

Grüße Pressi

 



#2 mwiederkehr

mwiederkehr

    Junior Member

  • 172 Beiträge

 

Geschrieben 19. Juni 2017 - 17:25

Es scheint ein Problem mit dem Handshake zu geben, darauf deutet jedenfalls die Meldung hin.

 

Hier ein Beitrag von jemandem mit dem gleichen Problem: https://social.techn...nserversecurity

 

Es ist mir allerdings im Moment nicht klar, weshalb es zwischen den beiden DC funktioniert. Hat der VPN Server eine ältere Windows-Version installiert als die DC?



#3 pressi

pressi

    Newbie

  • 9 Beiträge

 

Geschrieben 20. Juni 2017 - 05:35

Hallo,

 

dank dir für den Link, aus dem Bauch raus, würde ich vermuten dass die Lösung dort passen könnte.

Wir werden uns dass heute mal ansehen.

 

Der VPN Server ist üprigens eine CISCO ASA, dies ist der Grund für das unterschiedliche Verhalten zwischen den DC`s untereinander und zwischen VPN Server und DC`s.

 

Grüße





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2