Alle Aktivitäten

Dann würde ich trotzdem am Client suchen und hinterher dafür sorgen, dass sich beide DCs gleich sicher verhalten ;)

wenn ein und derselbe Client lt. OP mit einem 2025er DC klar kommt und mit einem anderen 2025er DC nicht...

Habe ich

Wenn ich die Fehlermeldung oben richtig deute, dann ist halt LDAP Channel Bind in 2025 per Default aktiv und dein Client kommt damit nicht klar. Ich würde am Client suchen und nicht am DC.

Und liegt bei All-Inkl, wenn ich das richtig sehe. Evtl. mal dort einen Hinweis geben?

Port ist natürlich offen, ein Telnet auf den Port zeigt auch eine Verbindung ... das gepostete war etwas überhastet, habe es natürlich auch mit DNS Namen probiert, keine Änderung :-( Allerdings steht die GPO noch wie oben geschrieben, ist damit TLS gänzlich deaktiviert?

Die Vorlage sollte man nicht mehr verwenden. Also CA entsprechend mit Kerberos Vorlage konfigurieren und die alte Vorlage entfernen. Außerdem das automatische Zertifikats-Enrollment für die DCs konfigurieren.

Naja, wenn Du TLS verwenden willst, musst Du auch einen Namen verwenden, der im Zertifikat steht, keine IP-Adresse Und den Port 636 auch offen haben

Hallo, danke für deine Antwort. Also beide DCs haben ein Zertifikat mit der Vorlage Domänencontroller , sonst kein weiteres. Bei der einen Anwendungen (es betrifft aber wie gesagt alle Anwendungen bei uns) kann ich auch extra "keine Verschlüsselung" oder "SSL verwenden" einstelle. Wenn ich SSL verwenden aktiviere funktioniert weder DC1 noch DC2, da lautet die Fehlermeldung Could not connect to Ldap Server: 0x51 (Can't contact LDAP server; (unknown error code)): ldaps://192.168.1.10:636 Ich stehe total auf dem Schlauch aber danke für deine Hilfe

Hi, jemand betreibt mit der Maildomain googlesmail. de Spear-Phishing (auf die genaue Schreibweise achten.

Yup, 2025 akzeptiert keine Simple Binds mehr ohne TLS. Die Frage ist also eher, warum es bei einem funktioniert als warum es bei dem anderen nicht tut. Kann es sein, dass bei dem DC, wo es funktioniert, ein TLS-Zertifikat eingespielt ist, bei dem LDAPS ausgehandelt werden kann, und bei dem anderen nicht? Vielleicht ist die Anwendung am Ende schlau genug, LDAPS zu probieren? Nebenfrage, die mit dem Problem nichts zu tun hat: Habt ihr eure Permissions im AD bereits überprüft und sichergestellt, dass BadSuccessor nicht möglich ist?

Hallo, wir sind derzeit dabei, sämtliche VMs von Server 2012 R2 / 2016 und 2019 zu 2025 zu migrieren. Die DC sind dabei bereits erfolgt, beide auf 2025. Leider haben wir jetzt mit externen Programmen Probleme, die vorher immer per LDAP die DCs abgefragt haben. Ein Fehlermeldung unseres MDM Systems lautet: Could not connect to Ldap Server: 0x8 (Strong(er) authentication required; 00002028: LdapErr: DSID-0C0903CC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data Ich habe folgende GPO (Default Domain Controller Policy) bereits folgendermaßen angepasst: Domänencontroller: Signaturanforderungen für LDAP-Server -> Keine Es funktioniert trotzdem nicht. Das wirklich merkwürdige an der Sache ist jedoch, es funktioniert nur auf 1! DC nicht. Auf dem anderem DC funktioniert es problemlos. Wir haben nun - als temporäre Lösung - in sämtlichen Programmen einfach den LDAP Server auf den funktionierenden DC gelenkt und alles funktioniert erstmal. Trotzdem würde ich das Problem gern lösen und verstehen, was der 2. DC für ein Problem hat. Habt ihr Lösungsansätze für mich?

Moin an Board, dann wollen wir mal - ich koche Kaffee Allen einen guten Donnerstag, wird ja heute nicht ganz so warm Bleibt gesund!

Und selbst wenn, hätten die ja keine Priorität vor den gpo per Ad.

Hallo zusammen, ich habe ein für mich komisches Verhalten und hoffe auf eure Hilfe. Ich habe ein 2019er AD mit Win10 Pro und Win11 Pro Clients. Des Weiteren habe ich eine GPO, die die Anmeldeoptionen der Clients beschränken soll. Und hier liegt das Problem. Z.B. möchte ich die PIN-Anmeldung und andere Anmelde-Optionen nicht zulassen und habe deswegen einige Einstellungen unter „Computer Configuration\Administrative Templates\System\Anmelden\“ vorgenommen. Lokale Richtliniengibt es nicht. Die Einstellungen kommen bei den Clients an, GPResult und Rsop zeigen keine Fehler und auch in der Registry sind die richteigen Keys gesetzt oder nicht vorhanden (was ein „deaktiviert“ bedeutet). Bei den Clients steht unter Einstellung – Anmeldeoptionen „Einige Einstellungen sind ausgeblendet oder werden von Ihrer Organisation verwaltet“, aber in roter Schrift und alle Anmeldeoptionen, wie z.B. „Windows Hello-Gesichtserkennung“ oder „Windows Hello-PIN“ sind möglich. Kann mir jemand sagen, warum die Clients, obwohl er die richtigen RegKeys über eine GPO setzt, diese ignoriert.

Super, Danke für die Info. Spätestens in unserer Sommerpause werd ich das angehen. :)

Und was genau wurde da jetzt im GPResult nicht angezeigt?

Ich hab bisher fast alle Kunden mit Exchange SA, da ist das also aktuell noch wurscht, weil die SA ja schon bezahlt wurde. Bei neuen Projektbeschaffungen muss ich mal schauen. Aber ich denke die üblichen Distris werden die Preise jetzt oder in Bälde sicher haben.

Hat mal irgendwas über die Preise erfahren? Oder muss man über die üblichen Vertriebskanäle gehen? Danke 👍

Der dritte Server is gleich fertig. ;) Dauert wie üblich ein CU ca. 1h würd ich schätzen

Wie lange hat es denn gedauert?

Hoffentlich nur auf dem Printserver und nicht global.

Mein Problem hat sich gelöst. Mein Admin-Vorgänger hatte Aufgrund einer Sicherheitslücke eine Policy erstellt, die den Spooler-Dienst deaktiviert. Das ist aber irgendwie auf dem Printserver nie zum Tragen gekommen. Erst jetzt, als ich letzte Woche die Juni-Updates installiert hatte, wirkte die Richtlinie plötzlich. Hab die Richtlinie jetzt deaktiviert und alle können wieder drucken.

Das erste Upgrade in einer (nicht wirklich repräsentativen) Testumgebung ist unfallfrei durch gelaufen.

Moin an Board, so starten wir dann in einen warmen Tag - ich koche trotzdem noch eine kleine Kanne Kaffee Bergfest! Allen einen ruhigen Mittwoch, bleibt gesund! Hier schon (oder noch) 26°C, es werden wieder über 30°C - ich gehe in den Keller Achja, stell noch Wasser in die Kühlung, Apfelsaft etc. stehen auch bereit