nizo 10 Geschrieben 14. Januar 2011 Melden Teilen Geschrieben 14. Januar 2011 Hallo liebe Leute, ich habe 3 Windows Server DCs 2008 64Bit. Es gibt ein LDAPS Verbindungsproblem, wie folgendes:- 1- Die Verbindung mit ldp.exe mit allen Server port 389 durch IP und DNS name erfolgreich. 2- Die Verbindung mit ldp.exe mit allen Server port 636durch DNS name erfolgreich. 3- Die Verbindung mit ldp.exe mit allen Server port 636 durch IP nicht möglich Ohne SSL:- ld = ldap_open("192.168.0.232", 636); Error <0x51>: Fail to connect to 192.168.0.232. Mit SSL:- ld = ldap_sslinit("192.168.0.232", 636, 1); Error 81 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 81 = ldap_connect(hLdap, NULL); Server error: <empty> Error <0x51>: Fail to connect to 192.168.0.232. Can jemand bitte mir helfen? oder ein Tipp geben, wäre ich sehr dankbar. Gruß Nizo Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 14. Januar 2011 Melden Teilen Geschrieben 14. Januar 2011 Hat dein DC denn ein Zertifikat? Falls nein, ist das Voraussetzung. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Januar 2011 Melden Teilen Geschrieben 14. Januar 2011 Hi, das ist "by design". Du kannst nicht über die IP-Adresse auf den SSL Port zugreifen, da die IP-Adresse nicht als "Subject" bzw. "SAN" im DC Zertifikat steht. Da jedoch ein "match" erfolgen muß, damit Du weißt, daß es auch wirklich das korrekte Zielsystem ist, auf welches Du SSL-verschlüsselt zugreifst, funktioniert nur der DNS Name des DCs, der auch im Zertifikat steht. Warum möchtest Du überhaupt per IP-Adresse zugreifen - das ist doch im Normalfall gar nicht notwendig...? Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 16. Januar 2011 Autor Melden Teilen Geschrieben 16. Januar 2011 Ich habe nämlich ein Problem mit KerioMail Server, der sich über LDAPS oder LADP zum LDAPServer der DC 2k8 verbinden muß. Der Kerio Server kann sich mit 2k3 DC Server erfolgreich verbinden und die Schema Extension finden. Das ist aber leider nicht der Fall bei 2k8, er findet keine Kerio Schema Extension, obwohl die Extension ist schon installiert. Deshabl habe ich es denn versucht zu testen, ob mit ldp.exe irgendwas erreichen kann, um es genau zu rauszufinden, warum wurde kein Schema Extension gefunden. Danke für euere Antwort. Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 16. Januar 2011 Autor Melden Teilen Geschrieben 16. Januar 2011 Ich habe nun ein VM-System 2k8 mit KerioConnect eingerichtet. Der neue Server ist 2k8 DC. Auf dem System funktioniert alles OK. Die Verbindung via LDAP oder LDAPS ueber Kerio Conntor zur alle andern 3 2k8 DC server funtioniert nicht. Ich denke es ist ein Registry einstellugen. Wie kann ich die Registry vergleichen. Gibt es ein Tool? Hat jemand eine Idee? Danke im voraus. Gruss Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Wie kann ich die Registry vergleichen. Gibt es ein Tool? Unabhängig von deinem konkreten Problem siehe How to Use WinDiff to Compare Registry Files Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Hi, ich verstehe Dein Problem nicht - Du hast die Antwort doch schon selbst gefunden: Greife per DNS-Namen auf den 2008er DC zu und es funktioniert. Das hattest Du ja oben selbst so angegeben. Wenn Dir darüber hinaus jemand helfen soll, macht eine nachvollziehbare Beschreibung des Problems Sinn. Im Moment werde zumindest ich aus der Beschreibung nicht wirklich schlau. Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 16. Januar 2011 Autor Melden Teilen Geschrieben 16. Januar 2011 Ich habe 4 Physikalichen DCs, 3 sind 2k8 64 Bit einer davon ist der Schema Master und 2K3 32 Bit als DC und Fileserver. Ich benutze Kerio Connect als Mail Server und ist auf 2K8 Server 64 Bit mit IP= 192.168.0.xx2 installiert. Vor dem letzten Kerio updates hat alles super funktioniert und Kerio Connect Server hat die User Liste gemappt, weil er ist auch als DC. Nachdem MS Security Updates und auch Kerio Connect update am 10.12.2010und neustart durchgeführt, funktioniert die Verbindungs zwischen Kerio Connect und dem LDAP Server auf alle 2k8 DCs nicht mehr und bekomme ich immer diese Meldung:- [11/Jan/2011 12:18:35] LDAPS: Schema extensions have not found on LDAP server 192.168.0.xx2: Operations error XX2 ist die IP des kerio Mail Server 2K8 64 Bit. Ich habe die Kerio ADS Extensions auf alle 2k8 neu installiert aber immer bekomme ich den selben Fehler. Die Verbinsung zum 2K3 Server ist erfolgreich und ich benutze ihm auch jetzt als Directory Server (Domain Kontroller) für kerio, damit er die User Liste und Die Authentication holen kann. Soweit ist OK und dieKeiro AD Extension ist 32 Bit. Ich habe mich seit denn mit Kerio in Verbinsung gestzt aber leider bias jetzt können sie mir nicht weiter helfen. Viele Vorschläge aber ohne Erfolg. Nun habe ich ein Testsystem wie ich es vorher erwähnt habe, eingerichtet, aber alles auf dem neuen System funktioniert 100%. Deshalb vermüte ich irgendwas mit dem registry auf alle andern 3DCs nicht inordnung oder die Zertifikaten, obwohl die sind schon da. Danke im Voraus für Euere Hilfe. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Januar 2011 Melden Teilen Geschrieben 17. Januar 2011 Hi, ich muß noch einmal fragen: Warum übergibst Du die IP-Adresse anstatt des DNS-Namens? Wenn ich die Fehlermeldung sehe, dann sieht es danach aus: [11/Jan/2011 12:18:35] LDAPS: Schema extensions have not found on LDAP server 192.168.0.xx2: Operations error Oder hast Du den DNS-Namen angegeben und dennoch wird die IP-Adresse im Log von Kerio angezeigt? Was hat der Netzwerktrace ergeben, den die Kerio Supporter angeschaut haben? Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 17. Januar 2011 Autor Melden Teilen Geschrieben 17. Januar 2011 Hi, ich habe es auch vorher mit DNS-Name versucht, aber immer den geleichen Fehler. :(:( Kerio Supporter haben sich bis heute sich noch nicht gemeldet. Ich denke es ist mit den alten Kerio AD Extension. Wie kann ich sie vom DC komplete sauber entfernen. Vielen Dank. Nizo Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 18. Januar 2011 Autor Melden Teilen Geschrieben 18. Januar 2011 Hallo, ich habe durch den Wireshark Dump dies gefunden (Anhang):- Ip 192.168.0.236 ist Kerio-VM, 0.232 ist die 2k8DC, und ich kann ihn über LDAP durch die Kerio Admin Webinterface Connection test nicht erreichen. No. Time Source Destination Protocol Info 572 6.296019000 192.168.0.232 192.168.0.236 LDAP searchResDone(2) operationsError (000004DC: LdapErr: DSID-0C0906DD, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1772) [0 results] Ich habe irgendwie infos gefunden über "correct SPNs for AD LDS service account". Kann jemand mir bitte weiter helfen? Danke im Voraus. Wireshark-dump.txt Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2011 Melden Teilen Geschrieben 18. Januar 2011 Hi, und derselbe Call funktioniert mit LDAP anstatt LDAP/S? Kann es sein, daß Du derzeit keinen AD Account für den LDAP-bind verwendest? Was für ein Dienstkonto stellt denn die Verbindung zum LDAP Server her? Ist da irgend etwas auf dem Kerio Server definiert? P.S.: Wenn Dir der Hersteller Deiner Lösung im Support Fall keine Auskunft darüber gibt,l was hier ggf. nicht funktioniert, dann würde ich schnellstmöglich den Anbieter wechseln. Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 18. Januar 2011 Autor Melden Teilen Geschrieben 18. Januar 2011 Hi, Ich danke Dir für Deine Antwort. Es ist nicht einfach zu wechseln :(. Die Firma will Kerio weiter einsetzen. Ich verstehe es leider nicht geanu was Du meinst? Vorher hat alles auf dem Server funktioniert, bis den Update durchgeführt hatte. SPNs sind OK. setspn benutzt und alles OK. Support bis jetzt können mir keine schnelle Hilfe anbieten.:( Gruß Nizo Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Januar 2011 Melden Teilen Geschrieben 18. Januar 2011 Hi, was ich meine ist: Um Dich am AD zu authentifizieren (um zu browsen), mußt Du einen Account für den sogenannten LDAP bind nutzen. Dieser Account stellt die Verbindung zum AD her und authentifiziert Kerio. Ohne den Account kann Kerio sich nicht authentifizieren und er im Trace angesprochene LDAP bind schlägt fehl. Hast Du diesen Account in Kerio hinterlegt? Wenn ja, kannst Du diesen Account für ein LDAP bind mittels LDP.exe nutzen? Oder geht es, wenn Du in Kerio testweise anstatt LDAP/S nur LDAP ohne SSL nutzt? Ok, Deine Firma möchte nicht wechseln. Aber dann gibt es auch keine Garantie, daß es schnell wieder läuft. ;) Habt Ihr ggf. einen Dienstleister, den Ihr Vor-Ort involvieren könnt? Oder übernimmst Du diesen Teil komplett? Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 18. Januar 2011 Autor Melden Teilen Geschrieben 18. Januar 2011 Hi, es läuft ja, aber ich muß ein 2k3dc benutzen als Directory service Server für Kerio. Das bedeutet es kann sich mit andern LDAP server verbinden und die User Liste mappen. Vorher hat den Kerio Server sich selber als LDAP benutzt, und jetzt wie ich vorher ewähnt hatte, die LDAP mit allen 3 Server 2k8 über kerio klappt nicht. Obwohl mit ldp.exe alles OK ist. Im Kerio bruacht man nicht einzustellen, ich brauche nur den Administrator Account und das Passwort zu authentifizieren. Mit oder ohne SSL, klappt es leider die Verbindung zu 2k8 nicht. Ich bin der Admin und übernehme dort was ich kann, solange es denn geht, wenn nicht dann muß ich für externe Hilfe zugreifen. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.