buddylight

ok ich habe mich jetzt speziell über das ldap tool als CURRENTly logged in user in die AD eingeloggt und jetzt komme ich auf die AD. Doch wenn ich die daten username+passwort explizit angebe geht es nicht ??? HAHA oh man :rolleyes: dennoch die alten probleme bleiben bestehen ich kann mich mit dem account eines normalen benutzers aus der AD nicht mehr an der domäne anmelden. Ich bekomme immer diese Fehlermeldung: Bitte was soll ich machen, ich muss an dem pc mit der serververbindung dringend noch etwas abarbeiten! Vielen Dank für eure Hilfe!

ok laut Rat von einem msce kumpel habe ich die default domain policy gelöscht und neu zugewiesen. Seit ergaben sich folgende Dinge die ich per pm an meinem Kumpel schrieb, doch ich poste es auch hier da mehr leute mehr wissen...: pm1: pm2:

Bin in AD - Benutzer und Computer: rechtsklick auf bodensee.de (meine domäne)->eigentschaften->tab gruppenrichtlinie->Default Domain Policy(Bearbeiten)->GruppenrichtlinienFesnter->Computerkonfiguration-> Windows-einstellungen->Sicherheitseinstellungen->IP-Sicherheitsrichtlinien auf Active Directory-> Hier gibt es 3 Objekte, davon habe ich auf Secure Server (Require Security) rechtsklick eigenschaften gemacht->hier kommen nun 2 tabreiter (Regeln/allgemein) mit 3 checkbox eintragungen unten drunter bei Reiter "Regeln" habe ich einfach einen davon angeklickt und bei Authentifizierungsmethoden im nächsten Fenster anstatt Kerberos ->eine neue Auth methode hinzugefügt und ausgewählt "Verwenden eines Zertifikates von dieser Zertifizierungsstelle". Dort habe ich mein Zertifikat ausgewählt. Danach habe ich die richtlinie zugewiesen. Ich glaube bin aber nicht sicher, dass danach meine ldap verbindung vom client nicht mehr ging. Dann machte ich alle eintragungen rückgängig und um sicherzugehen stellte ich die "Richtlinie zugewiesen" wieder auf "Nein" Gibt es denn keine Möglichkeit die groups policies (falls es daran liegt) auf einen default zu stellen? Notfalls könnten auch die Nutzer/gruppen der AD verloren gehen, nur alleine kann ich den server nicht installieren und der admin hier der eigentlich programmierer ist hat keinen plan :-(

Hallo, ich habe einen w2k server + win xp client in direkt miteinander verkabelt. Vom client aus greifte ich bisher mit einem LDAP tool auf den Server zu um infos aus der AD zu lesen evtl. ändern etc... ging alles wunderbar bis... ich in den group policies etwas änderte ABER diese Änderung machte ich auch wieder Rückgängig und Server und client lies ich neustarten. Ich kann mich wunderbar mit dem client an dem server anmelden an dessen domäne, aber mit dem ldap tool bekomme ich immer die meldung dass der host nicht gefunden wird. Weiterhin dauert das anpingen meines Servers ca. 15 Sekunden erst danach kommt eine verlustfreie Antwort zurück. Ein anderes Netzwerk hier an das ich mit einem ganz anderen pc angeschlossen bin liefert mir das ping server ergebnis innerhalb von 1 sekunde ??? Fehlermeldung aus der Ereignisanzeige: ImageShack® - Hosting Fehlermeldung als Text: Zuguterletzt... fragt mich net warum ich das machte...ich war so angepisst davon, dass windows trotz meiner rückgängig gemacht Änderung nicht mehr richt funzte: Unter Eigenschaften von meiner Domäne stelt ich den Betriebsmodus der Domäne von NT 3.5/4.0 auf einheitlicher Modus(nur w2k domänencontroller ) um. Kann mir jemand bitte helfen?

ja klar zertifikat ist installiert usw die ldap verbindung geht auch mit JNDI aber die SSL verbindung macht probleme (geht nicht immer...)

obiges sagte mir jemand, der meinte dies könnte gehen... Weiß jemand darüber Bescheid ob das geht ?

Hallo, wenn ldap code mit java ausführe und eine SSL Verbindung über port 636 benutze funktioniert alles beim 1. mal ausführen. Wenn ich den Button mit dem auszuführenden Code nochmals kurz darauf bestätige bekomme ich eine Ausnahmebehandlung dass der SSL Dienst nicht verfügbar sein ????? Warte ich 1 minute nach dem 1. Ausführen des Codes bekomme ich diese Fehlermeldung nicht ??? Hat W2K server ein SSL Problem ??? Kann man irgendwo das Verbindungstimeout oder sowas einstellen? Wenn ich den Code ohne SSL ausführe über port 389 gibt es keinerlei Probleme also liegt es an SSL!!! Weiß jemand Rat? Müsste oder kann man am Server noch etwas konfigurieren?

da: da steht, dass diese 15 felder für Postfächer dienen aber nicht für Benutzerkonten Zudem mit welcher Windows Server version geht diese Extension? Läuft das auch mit Windows Server 2000 ?

Da könnte etwas dran sein, denn auf dem w2k3 server wenn man nach personen sucht in der AD und nach bestimmten attributen steht da 9mal "Benutzerdefiniertes Attribut 1" bis "Benutzerdefiniertes Attribut 9". Vielleicht ist es das... nur welches attribut kann man missbrauchen? es muss doch ein datumsformat haben oder nicht? ok attribute sind strings... daher ist net mit einer fehlermeldung zu rechnen.

Es muss etwas mit Geburts-Datum geben, da wir hier ein Programm haben das dieses Attribut benutzt aber der neue admin hier kann mir das nicht anzeigen in der AD, was der alte admin gecodet hat... Kann man auf dem win2003 server evtl. eigene attribute erstellen und das schema der AD erweitern?

Hallo, es muss ein addon für W2K / W2K3 server geben welches das Attribut "Geburtsdatum" für domänen benutzer erlaubt oder zur AD hinzufügt. Kennt das jemand?

ok das wollte ich nur noch mal wissen. Es ist natürlich so bei uns, dass sich der benutzername aus vorname/nachname zusammensetzt da gibt es schon eine regel.

sehe ich das richtig: Der Benutzername muss sich nicht aus Vorname und Nachname des Benutzers zusammensetzen, sondern kann frei gewählt werden? Bsp: Vorname: Hans Nachname: Maier Benutzername: Hansilein das geht doch oder? habe keinen server zuhause sonst würde ich es sogleich testen...

Hallo, nehmen wir an ich habe 2 benutzer mit gleichem vornamen und nachnamen und jeder hat ein unterschiedliches Geburtsdatum wegen eindeutigkeit. Wie erstelle ich diese beiden user in der AD? Das geht ja gar nicht wegen 2 gleichen benutzernamen??? Habe von jemandem gehört ich müsste das namensschema der AD erweitern so dass am schluss der benutzername helge maus = HMaus und HMaus1 rauskommt ? Kann mir jemand helfen oder ein link wäre auch toll :)

:mad: :p danke dir

?? das wusste ich doch , mir gehts nur um den proxy der evtl vor eine w2k domäne ist.

Achso internet explorer... mir gings jetzt darum wenn sich ein windows client an einer windows domäne authentifiziert. Dass der IE das net kann war ja fast schon klar :D

Hallo, unterstützt Windows 2000 Server eine TLS Verbindung? Bitte um Antwort mit Quellennachweis, danke. Ich habe nur das hier gefunden: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/a92d8eb9-f53d-4e86-ac9b-29fd6146977b.mspx?mfr=true Zitat:"Voraussetzungen für den Server Für eine fehlerfreie TLS-Authentifizierung müssen Terminalserver die folgenden Voraussetzungen erfüllen: Terminalserver müssen unter Windows Server 2003 SP1 ausgeführt werden." da steht ja eigentlich nur was von Windows 2003... wobei da Terminalserver steht... Ich habe eine W2K Server mit ssl am laufen.

Kannst du mir einen Quellennachweis zeigen (link?) wo steht, dass proxies die Verwendung von Kerberos behindern?

Ok es scheint ich habe den fehler gefunden... man muss den pfad zur keystore datei wo das zertifikat hineinimportiert wurde explizit im Code angeben, ich dachte es wird der Standart Pfad von java/jre/lib/security genommen, weil ich das in meinem java buch so las... String keystore = "C:/Programme/Java/jre1.6.0_01/lib/security/ZertifikatBerlin"; System.setProperty("javax.net.ssl.trustStore",keystore); auf meinem Windows XP sp2 client gibt es im Java/jre1.6.0_01/lib/security/ Pfad noch die Keystore Datei "cacerts" wenn ich diesen Dateinamen mit dem obigen keystore dateinamen "ZertifikatBerlin" austausche und mich nochmals per ssl verbinde bekomme ich wieder die alte Fehlermeldung:"...unable to find valid certification path to requested target..." sprich meine Verbindung hat funktioniert zumindest wurde mein Keystore und das Zertifikat darin irgendwie akzeptiert. ABER... müsste nicht ein Fenster aufgegangen sein wenn die ssl verbindung funktionierte wo mir dem client das Zertifikat in einem Fenster gezeigt wird und ich diese akzeptieren kann? Genau das vermisse ich noch...

Obwohl meine authentifizierung ja nicht über einen web server geht und somit mit dem Internet explorer nichts zu tun hat, muss ich dennoch das serverzertifikat wie auf dem screenshot in den IE importieren ?? Beschreibung des LDAP API über SSL-Anforderungen aus obigem Link: lt. obigem link benötige ich evtl. auch ein High encryption Pack für meinen client der Windows xp sp2 hat, wäre das nicht schon dabei diese High encryption Pack ? Das bild 2 im Anhang zeigt, dass ich das zertifikat vom server nun mithilfe des Internet Explorers importiert habe - auch erfolgreich - doch ich bekomme immer noch obige frühere java Fehlermeldung: Kann mir denn keiner sagen wie und wo ich ein Zertifikat für einen ldap client installieren muss? Bitte...

daheim nochmals mit dem keystore explorer das Zertifikat importiert in einen keystore und bekomme dabei wie heute mittag im geschäft diese Meldung: d.h. ein Vertrauenspfad... konnte nicht erstellt werden aha... siehe Fehlermeldung Anhang... Was meinst du mit Zertifikat installiert auf dem Client? ich habe wie gesagt das Zertifikat importiert in eine Keystore Datei und diese keystore DAtei in den pfad Java/jare/lib/security gelegt das wars...

Ich benutze Java JDK 6 sprich das JSSE muss da drin sein und vom Programmcode her stimmt auch alles man muss im Vergleich zur Verbindung ohne SSL nur eine CodeZeile hinzufügen und anstatt port 389 den port 636 wählen. Das habe ich gemacht! Komischerweise habe ich nochmals jetzt das app ausgeführt und JETZE PLÖTZLICH :shock: bekomme ich diese Meldung: javax.naming.CommunicationException: simple bind failed: rhein:636 [Root exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target] ?? Ok da scheint was mit dem Zertifikat nicht zu stimmen, kein gültiger Zertifikationspfad kann gefunden werden. Wo wird denn dieser Pfad hinterlegt dass er auch gefunden wird? Ich werde auch nochmals auf Sun forum fragen ;-)

Error: javax.naming.ServiceUnavailableException: Auf Port 389 bekomme ich eine Verbindung. Ohne Änderung des hosts aber port 636 bekomme ich diese Exception, kann doch nicht sein??!! SSL and Custom Sockets Genau das passiert bei mir wenn ich mit dem client zum server über port 636 verbinde, meine java app friert für 7 sekunden ein und spuckt dann die fehlermeldung aus... ALSO benutzt dieser Port vielleicht kein SSL ???

Hallo Leute, Ich habe auf meinem W2K Server mit Service Pack 2 (mit SSL 128 Bit) den Zertifikatsdienst von der W2K Server CD installiert, danach habe ich mit dieser Anleitung ein Zertifikat für meinen Server ausgestellt: Nun habe ich das Programm ldp.exe (LDAP Browser für die Active Directory) von der W2K Server CD installiert und ausgeführt. Habe port 636 ausgewählt für SSL Übertragung der Daten und ich kann mich zu meiner Active Directory einwandfrei verbinden als Administrator. Danach habe ich das Serverzertifikat in eine Datei exportiert. Nun zum Client: Dort habe ich mit dem Programm Portecle das exportierte Zertifikat in eine keystore datei gelesen. Diese Keystore Datei abgespeichert und in das Verzeichnis java/jre/libs/security gelegt wo auch andere Zertifikate wie VeriSign sind etc... Nun stelle ich mit meinem Java /JNDI Programm wie zuvor mit port 389 (ohne SSL) erfolgreich nochmals eine Verbindung mit port 636 her, doch egal welche USER DN oder kennwort ich eingebe immer bekomme ich die Meldung: javax.naming.ServiceUnavailableException: rhein:636; socket closed Nun frage ich mich weil ob das SSL (muss man das speziell für ldap irgendwie freigeben?) wirklich richtig integriert ist und funktioniert, aber mit dem Programm ldp.exe habe ich mich wie gesagt einwandfrei verbunden ??!!!!! Muss ich da ein Passwort mitgeben dass ich für die keystore Datei eingab? Wenn ich das Programm aus meiner IDE teste, kann ich doch kein Passwort mitgeben ??? Oder habe ich was auf dem Client nicht richtig gemacht? Zählt die Verbindung derldp.exe mit der Active Directory auch als eine Verbindung von außen? sprich wenn nicht, kann mein port 636 irgendwie zu sein? Ich würde mich sehr freuen wenn die Pro`s hier mir helfen könnten zumindest die möglichen Fehlerquellen auf dem Server anzugehen, das Java mach ich dann schon :p Vielen Dank! buddylight