Jump to content
Sign in to follow this  
kahnung

LDAPS Port 636 funktioniert nicht

Recommended Posts

Hallo an alle Spezialisten!

 

Ich habe folgendes Problem:

Damit am ISA Server (über OWA) die Kennwortänderung klappt, muss der ISA Server mit den Domain Controllern über LDAPS (Port 636) kommunizieren.

Auf dem ISA Server sind die entsprechenden Regeln eingestellt, im Log kommen auch keine Fehler dazu.

 

Wir haben 2 CA in der Domäne.

Der Zugriff über ldp.exe über Port 389 vom ISA (oder auch anderen Server) klappt, über Port 636 nicht.

Noch nicht einmal von einem DC zum anderen klappt es mit LDAPS.

 

Ist es nicht so, dass alle Server / PCs, wenn in der Domäne eine CA ist, dieses Zertifikat erhalten, sodass LDAPS theoretisch möglich wäre?

 

Ich habe mir jetzt schon einige Stunden div. Technet Artikel und andere Quellen durchgelesen und ausprobiert, leider ohne Erfolg.

 

Kann mir jemand sagen, welche Zertifikate, in welchem Store (Lokaler Computer: Eigene Zertifikate / Vertrauenswürdige Stammzertifizerungsstellen) sein müssen? Also DC und ISA Server. Die auf dem Server, auf dem die CA installiert ist, ist doch egal?!

 

Ich habe so langsam die Bedenken, dass mit unserem AD was nicht so ganz in Ordnung ist...

 

Bin echt für jeden Tip dankbar!

 

Grüße,

kahnung

 

 

PS:

Die Domäne (+ DCs) ist Windows 2000.

Der ISA Server ist ein 2006er.

Share this post


Link to post

Moin,

 

hast Du von der CA schon ein Serverzertifikat ausstellen lassen und mal auf einem DC als sein eigenes Zertifikat importiert? Dann sollte das gehen.

 

Gruß

Share this post


Link to post

Hi!

 

Also ist hab jetzt mal eine Testumgebung (Danke VMware!!) aufgebaut.

4 Windows 2000 Server, davon 2DC, einer CA, ein einfacher memberserver.

 

Nachdem die CA installiert ist, die DCs mal neu gestartet, klappt die Verbindung auf untereinander "einfach so" per LDAPS (Port 636).

Auf dem "einfachen" memberserver ist nur in den "Vertrauenswürdigen Stammzertifizierungsschnittstellen" das Zertifikat von der CA.

In "Eigene Zertifikate" ist keins drin.

Tja. Es könnte so einfach sein...

 

Im dem Produkiven Netz hilft alles nichts. ;-(

Komisches Windows...

Im Testsystem kann der DC sich sogar auf sich selbst mit LDAPS verbinden. Das geht in der Produktivumgebung auch nicht.

 

@0l2i + fluehmann: Habe ich beides ausprobiert. Klappt nicht.

 

Was hat es denn mit dem "Schannel" auf sich?

 

Auszug aus Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

:

Mehrere SSL-Zertifikate

Schannel (Microsoft-SSL-Anbieter) wählt das erste gültige Zertifikat aus, das im Speicher des lokalen Computers gefunden wird. Wenn es mehrere gültige Zertifikate im Speicher des lokalen Computers gibt, wählt Schannel möglicherweise nicht das richtige Zertifikat aus.

 

Ich habe dort ja mehrere Zertifikate installiert. Die reden von "Eigene Zertifikate", oder?

 

Wenn noch jemand n Tip hat....

 

Viele Grüße!

Share this post


Link to post
Die reden von "Eigene Zertifikate", oder?

 

Genau! Du musst dir von deiner CA ein Serverzertifikat ausstellen lassen. Das geht indem Du, wie im Artikel beschrieben, ein Request an die CA stellst. Diese stellt dir ein Zertifikat aus, welches Du in den Ordner "eigene Zertifikate" auf dem DC installieren musst. Sobald dieser DC das Zertifikat hat, solltest Du dich (sofern alles richtig) via ldp.exe über Port 636 connecten können.

 

Gruß

Share this post


Link to post

Erstmal Danke für die Tips, konnte aber noch nicht weitersuchen.

(Muss mich auf meinen Urlaub vorbereiten) ;-)

 

Danach werde ich nochmal danach schauen!

 

Danke nochmal!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...