Alle Aktivitäten

War also direkt zielführend. Umstellung auf LDAPs und den Unterscheid behoben ;)

Das sagte ich doch bereits in der ersten Antwort Aber schön, dass Du offensichtlich zu 100% Anwendungen hast, die LDAPS überhaupt können. Da kenne ich andere Umgebungen...

Ich bin als Administrator im DSRM angemeldet! Ein umbenennen des Computerkontos ist in diesen Kontext scheinbar nicht möglich!

Fehler gefunden - es tut mir leid für die Verwirrung. Aufgrund unserer ganzen Core Installationen (fast alles mittlerweile bei uns unter Core) ist es nicht direkt aufgefallen - für den 1 DC wurde versehentlich das falsche ISO verwendet, es ist also eine 2022 VM. Das erklärt das unterschiedliche Verhalten der 2 DCs, warum es bei einem geht und beim anderen nicht. Außerdem habe ich mich noch mal in diesen Artikel eingearbeitet: https://www.windowspro.de/philip-lorenz/domain-controller-ldap-channel-binding-ldap-signing-absichern Offensichtlich verhält sich Server 2025 da nicht mehr wie 2022, denn selbst wenn ich alles "optional" einschalte, Channel-Binding und Signierung ist immer aktiv. Deswegen schlägt das ganze auf dem 2025er DC fehl. Ich konnte nun das ganze erfolgreich auf LDAPS umbauen und es funktioniert mit beiden DCs Sorry für die Verwirrung und danke an alle Beteilgten

Wie du bist im DSRM und der DSRM Admin kann sich nicht anmelden?

Wer sagt dass es nicht geht? Der Papst?

Mahlzeit, Leider hat unser Dienstleister den Exchange in der Hybridstellung quasi ausgemerzt. Die AD Attribute sind noch da, aber die Verwaltungskonsole fehlt und ich kann mich auch nicht auf den OnPrem mit PowerShell verbinden. Der normal AD Sync läuft und ich kann auch User einbinden (eMail, Kalender und co.) aber ich kann keine Räume mehr anlegen. Erstelle ich den Raum nur in 365 an, bekomme ich einen Fehler das auf den Raum nicht zugegriffen weden kann. Lege ich einen deaktivieren User in der onPrem AD an und synce den, habe ich keine verbindeung vom User zum Raumpostfach. Ändere ich die proxyAdress in 365, klemmt das, weil die ja schon vergeben ist. Welche auswirkungen hat das erneute Installieren eines exchange severs in die AD , bzw welche Dine müssen beachtet werden ? Danke Stefan

Wie denn? Er sagt das geht nicht im DSRM Modus! Wir haben es vergeblich via GUI und PowerShell probiert (rename-computer)!

Den DC zurück umbenennen

Im DSRM kann ich mich anmelden, da sind wir auch gerade drin, aber was sollen wir hier genau machen?

OK, warum geht es nicht im DSRM? Kannst Du dich da auch nicht anmelden? Das sollte *eigentlich* spätestens mit dem RID500-Administrator möglich sein

ja, den Artikel habe ich auch gesehen, aber der hilft uns leider im aktuellen Fall auch nicht weiter oder meinst Du etwas konkretes?

Hast Du Dir dazu Blogs angeschaut? zB. Rename Domain Controller - Der Windows Papst - IT Blog Walter

Hi, ich habe im Zuge einer DC Migration (2016 -> 2022) den Fehler gemacht ganz am Ende den neuen DC über den klassischen Weg umzubenennen! Jetzt ist keine Anmeldung mehr weder auf dem DC (Die Sicherheitsdatenbank auf diesem Server verfügt über ein Computerkonto) noch in der Domäne möglich! Gibt es noch irgendeinen Weg den DC wieder umzubenennen? Via DSRM geht das ja auch nicht, aber kann man z.B. die NTDS.DIT offline editieren und hierüber den Namen umbenennen? Ein VM Backup wieder gerade parallel zurückgeholt, aber das dauert leider mehrere Stunden... ich danke Euch! Nico

Dann würde ich trotzdem am Client suchen und hinterher dafür sorgen, dass sich beide DCs gleich sicher verhalten ;)

wenn ein und derselbe Client lt. OP mit einem 2025er DC klar kommt und mit einem anderen 2025er DC nicht...

Habe ich. PS: Allerdings habe ich bei dem Provider schlechte Erfahrungen gemacht, was den Kontakt und die Behandlung von Abuse-Meldungen angeht. Der denic redet ja nicht mit Endkunden...

Wenn ich die Fehlermeldung oben richtig deute, dann ist halt LDAP Channel Bind in 2025 per Default aktiv und dein Client kommt damit nicht klar. Ich würde am Client suchen und nicht am DC.

Und liegt bei All-Inkl, wenn ich das richtig sehe. Evtl. mal dort einen Hinweis geben?

Port ist natürlich offen, ein Telnet auf den Port zeigt auch eine Verbindung ... das gepostete war etwas überhastet, habe es natürlich auch mit DNS Namen probiert, keine Änderung :-( Allerdings steht die GPO noch wie oben geschrieben, ist damit TLS gänzlich deaktiviert?

Die Vorlage sollte man nicht mehr verwenden. Also CA entsprechend mit Kerberos Vorlage konfigurieren und die alte Vorlage entfernen. Außerdem das automatische Zertifikats-Enrollment für die DCs konfigurieren.

Naja, wenn Du TLS verwenden willst, musst Du auch einen Namen verwenden, der im Zertifikat steht, keine IP-Adresse Und den Port 636 auch offen haben

Hallo, danke für deine Antwort. Also beide DCs haben ein Zertifikat mit der Vorlage Domänencontroller , sonst kein weiteres. Bei der einen Anwendungen (es betrifft aber wie gesagt alle Anwendungen bei uns) kann ich auch extra "keine Verschlüsselung" oder "SSL verwenden" einstelle. Wenn ich SSL verwenden aktiviere funktioniert weder DC1 noch DC2, da lautet die Fehlermeldung Could not connect to Ldap Server: 0x51 (Can't contact LDAP server; (unknown error code)): ldaps://192.168.1.10:636 Ich stehe total auf dem Schlauch aber danke für deine Hilfe

Hi, jemand betreibt mit der Maildomain googlesmail. de Spear-Phishing (auf die genaue Schreibweise achten.

Yup, 2025 akzeptiert keine Simple Binds mehr ohne TLS. Die Frage ist also eher, warum es bei einem funktioniert als warum es bei dem anderen nicht tut. Kann es sein, dass bei dem DC, wo es funktioniert, ein TLS-Zertifikat eingespielt ist, bei dem LDAPS ausgehandelt werden kann, und bei dem anderen nicht? Vielleicht ist die Anwendung am Ende schlau genug, LDAPS zu probieren? Nebenfrage, die mit dem Problem nichts zu tun hat: Habt ihr eure Permissions im AD bereits überprüft und sichergestellt, dass BadSuccessor nicht möglich ist?