Zum Inhalt wechseln


Foto

LDAP Probleme in AD


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 17. Juli 2017 - 12:30

Hallo zusammen,

 

wir haben letzte Woche einen DomainController (WinSrv 2012) aus der AD entfernt und einen neuen DC auf WinSrv 2016 hinzugefügt.

 

Seit dem haben wir Probleme mit LDAP.

 

Wenn man sich an deren Systemen per LDAP (SSL) authentifizierne möchte, bekommt man ein Fehler, dass die Anmeldung nciht möglich war.

 

Klickt man noch einmal auf anmelden funktioniert alles.

 

Ich hab derzeit leider keine Idee wo ich ansetzten soll.

 

DC1: WinSrv 2012

DC2: WinRsv 2016

DC3: WinSrv 2012

 

Alle Systeme, die LDAP nutzen, haben den Domänen-Namen als LDAP-Server eingetragen.

 

Vielen Dank schon einmal für die Hilfe



#2 Sanches

Sanches

    Newbie

  • 403 Beiträge

 

Geschrieben 17. Juli 2017 - 12:36

Hallo,

 

was "spricht" den die Ereignisanzeige der Server?

Hatte der entfernte Server und der neu hinzugefügte Server unterschiedliche Namen?

 

Gruß Sebastian



#3 Doso

Doso

    Board Veteran

  • 2.316 Beiträge

 

Geschrieben 17. Juli 2017 - 13:08

Hat der neue Domänencontroller ein SSL Zertifikat drauf? Solange der kein Zertifikat hat macht LDAP-SSL nämlich gar nichts, es antwortet sogar nichts auf Anfragen auf dem Port.



#4 zahni

zahni

    Expert Member

  • 16.129 Beiträge

 

Geschrieben 17. Juli 2017 - 13:12

Geht es bei alles DCs nicht oder nur bei Windows 2016?

 

- Gibt es eine Enterprise CA? Wenn ja, bedienen sich DCs normalerweise  selbständig.

- Hat der neue  Server den GC?

 

Nicht ganz neu, hilft aber vielleicht:

 

https://social.techn...ertificate.aspx


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Juli 2017 - 09:11

Also SSL LDAP geht nur beim neuen 2016er nicht.

 

EIN Zertifikat ist nach wie vor vorhanden.

 

Ner neue DC hat einen neuen Namen bekommen, aber die IP vom entfernten DC



#6 NilsK

NilsK

    Expert Member

  • 11.950 Beiträge

 

Geschrieben 18. Juli 2017 - 09:40

Moin,

 

EIN Zertifikat ist nach wie vor vorhanden.

 

Ner neue DC hat einen neuen Namen bekommen

 

das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat?

 

Und was sagt das Ereignisprotokoll?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Juli 2017 - 09:46

Moin,

 

 

das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat?

 

Und was sagt das Ereignisprotokoll?

 

Gruß, Nils

 

Ich habe jetzt die Zertifizierungsstelle in der MMC hinzugefügt.

 

Wo genau muss ich jetzt schauen ?



#8 NilsK

NilsK

    Expert Member

  • 11.950 Beiträge

 

Geschrieben 18. Juli 2017 - 10:35

Moin,

 

meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor.

 

Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Juli 2017 - 11:17

Moin,

 

meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor.

 

Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt.

 

Gruß, Nils

 

Hallo Nils,

 

im Zertigikat ider der Name von neuen DC eingetragen. Sprich wurde ausgestellt für ServerXYZ



#10 NilsK

NilsK

    Expert Member

  • 11.950 Beiträge

 

Geschrieben 18. Juli 2017 - 11:23

Moin,

 

gut. Dann ist ja nur noch die Kernfrage nach den Meldungen im Ereignisprotokoll offen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Juli 2017 - 11:55

Moin,

 

gut. Dann ist ja nur noch die Kernfrage nach den Meldungen im Ereignisprotokoll offen.

 

Gruß, Nils

 

Gibt es bestimmte ID wonach ich filtern kann ?

 

Habe unter "Sicherheit" und "System" nichts passendes gefunden



#12 NilsK

NilsK

    Expert Member

  • 11.950 Beiträge

 

Geschrieben 18. Juli 2017 - 12:05

Moin,

 

schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 Kuddel071089

Kuddel071089

    Senior Member

  • 308 Beiträge

 

Geschrieben 18. Juli 2017 - 12:12

Moin,

 

schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht.

 

Gruß, Nils

 

Unter "Active Diretory-Webdienste" habe ich folgede Infomeldung gefunden:

 

Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.
 
 Zertifikatname: xxxxx.xxxx.local

 

Unter Diretory Service habe ich folgende Warnung gefunden:

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:
(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder
(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).
 
Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".
 
Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.
 
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.
 
Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 183
Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 8
 

#14 NilsK

NilsK

    Expert Member

  • 11.950 Beiträge

 

Geschrieben 18. Juli 2017 - 12:45

Moin,

 

hm, okay. Die erste Meldung betrifft die Webdienste und hat mit deinem Problem (erst mal) nichts zu tun. Die zweite deutet eigentlich eher darauf hin, dass es funktionieren müsste.

 

Prüf doch noch mal bitte, ob die LDAPS-Verbindungen wirklich nicht gehen. Eine Anleitung findest du hier:

 

http://www.expta.com...onnections.html

 

Falls es nicht geht, prüfe noch mal die anderen DCs. Geht es dort?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 zahni

zahni

    Expert Member

  • 16.129 Beiträge

 

Geschrieben 18. Juli 2017 - 13:53

Ich hätte noch eine Idee: Was ist  das denn für ein LDAP-Client?  Vielleicht macht  der Server nur noch  TLS 1.2, was der Client  vielleicht nicht kann?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!