LDAPS Port 636 funktioniert nicht

[kahnung 10]

Hallo an alle Spezialisten!

 

Ich habe folgendes Problem:

Damit am ISA Server (über OWA) die Kennwortänderung klappt, muss der ISA Server mit den Domain Controllern über LDAPS (Port 636) kommunizieren.

Auf dem ISA Server sind die entsprechenden Regeln eingestellt, im Log kommen auch keine Fehler dazu.

 

Wir haben 2 CA in der Domäne.

Der Zugriff über ldp.exe über Port 389 vom ISA (oder auch anderen Server) klappt, über Port 636 nicht.

Noch nicht einmal von einem DC zum anderen klappt es mit LDAPS.

 

Ist es nicht so, dass alle Server / PCs, wenn in der Domäne eine CA ist, dieses Zertifikat erhalten, sodass LDAPS theoretisch möglich wäre?

 

Ich habe mir jetzt schon einige Stunden div. Technet Artikel und andere Quellen durchgelesen und ausprobiert, leider ohne Erfolg.

 

Kann mir jemand sagen, welche Zertifikate, in welchem Store (Lokaler Computer: Eigene Zertifikate / Vertrauenswürdige Stammzertifizerungsstellen) sein müssen? Also DC und ISA Server. Die auf dem Server, auf dem die CA installiert ist, ist doch egal?!

 

Ich habe so langsam die Bedenken, dass mit unserem AD was nicht so ganz in Ordnung ist...

 

Bin echt für jeden Tip dankbar!

 

Grüße,

kahnung

 

 

PS:

Die Domäne (+ DCs) ist Windows 2000.

Der ISA Server ist ein 2006er.

[Dopamin 10]

Moin,

 

hast Du von der CA schon ein Serverzertifikat ausstellen lassen und mal auf einem DC als sein eigenes Zertifikat importiert? Dann sollte das gehen.

 

Gruß

[fluehmann 10]

Hallo kahnung

 

Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

 

Ist zwar für ein LDAPs Zertifikat im Zusammenhang mit einer Drittanbieter CA.

Jedoch sind die Vorraussetzungen für das LDAPs Zertikikat mal zu erfüllen.

 

Grüsse

fluehman

[kahnung 10]

Hi!

 

Also ist hab jetzt mal eine Testumgebung (Danke VMware!!) aufgebaut.

4 Windows 2000 Server, davon 2DC, einer CA, ein einfacher memberserver.

 

Nachdem die CA installiert ist, die DCs mal neu gestartet, klappt die Verbindung auf untereinander "einfach so" per LDAPS (Port 636).

Auf dem "einfachen" memberserver ist nur in den "Vertrauenswürdigen Stammzertifizierungsschnittstellen" das Zertifikat von der CA.

In "Eigene Zertifikate" ist keins drin.

Tja. Es könnte so einfach sein...

 

Im dem Produkiven Netz hilft alles nichts. ;-(

Komisches Windows...

Im Testsystem kann der DC sich sogar auf sich selbst mit LDAPS verbinden. Das geht in der Produktivumgebung auch nicht.

 

@0l2i + fluehmann: Habe ich beides ausprobiert. Klappt nicht.

 

Was hat es denn mit dem "Schannel" auf sich?

 

Auszug aus Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

:

Mehrere SSL-Zertifikate

Schannel (Microsoft-SSL-Anbieter) wählt das erste gültige Zertifikat aus, das im Speicher des lokalen Computers gefunden wird. Wenn es mehrere gültige Zertifikate im Speicher des lokalen Computers gibt, wählt Schannel möglicherweise nicht das richtige Zertifikat aus.

 

Ich habe dort ja mehrere Zertifikate installiert. Die reden von "Eigene Zertifikate", oder?

 

Wenn noch jemand n Tip hat....

 

Viele Grüße!

[Dopamin 10]

Die reden von "Eigene Zertifikate", oder?

 

Genau! Du musst dir von deiner CA ein Serverzertifikat ausstellen lassen. Das geht indem Du, wie im Artikel beschrieben, ein Request an die CA stellst. Diese stellt dir ein Zertifikat aus, welches Du in den Ordner "eigene Zertifikate" auf dem DC installieren musst. Sobald dieser DC das Zertifikat hat, solltest Du dich (sofern alles richtig) via ldp.exe über Port 636 connecten können.

 

Gruß

[fluehmann 10]

Jetzt kommt es aber noch darauf an ob du in der Produktion eine Standalone oder AD integrierte CA hast.

 

Hier mal die Möglichkeiten für beide:

Configuring Microsoft Active Directory for SSL Access - SNCWiki

 

Grüsse

fluehmann

[kahnung 10]

Erstmal Danke für die Tips, konnte aber noch nicht weitersuchen.

(Muss mich auf meinen Urlaub vorbereiten) ;-)

 

Danach werde ich nochmal danach schauen!

 

Danke nochmal!