Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Kuddel071089

LDAP Probleme in AD

Empfohlene Beiträge

Hallo zusammen,

 

wir haben letzte Woche einen DomainController (WinSrv 2012) aus der AD entfernt und einen neuen DC auf WinSrv 2016 hinzugefügt.

 

Seit dem haben wir Probleme mit LDAP.

 

Wenn man sich an deren Systemen per LDAP (SSL) authentifizierne möchte, bekommt man ein Fehler, dass die Anmeldung nciht möglich war.

 

Klickt man noch einmal auf anmelden funktioniert alles.

 

Ich hab derzeit leider keine Idee wo ich ansetzten soll.

 

DC1: WinSrv 2012

DC2: WinRsv 2016

DC3: WinSrv 2012

 

Alle Systeme, die LDAP nutzen, haben den Domänen-Namen als LDAP-Server eingetragen.

 

Vielen Dank schon einmal für die Hilfe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

was "spricht" den die Ereignisanzeige der Server?

Hatte der entfernte Server und der neu hinzugefügte Server unterschiedliche Namen?

 

Gruß Sebastian

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hat der neue Domänencontroller ein SSL Zertifikat drauf? Solange der kein Zertifikat hat macht LDAP-SSL nämlich gar nichts, es antwortet sogar nichts auf Anfragen auf dem Port.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

EIN Zertifikat ist nach wie vor vorhanden.

 

Ner neue DC hat einen neuen Namen bekommen

 

das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat?

 

Und was sagt das Ereignisprotokoll?

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

 

das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat?

 

Und was sagt das Ereignisprotokoll?

 

Gruß, Nils

 

Ich habe jetzt die Zertifizierungsstelle in der MMC hinzugefügt.

 

Wo genau muss ich jetzt schauen ?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor.

 

Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor.

 

Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt.

 

Gruß, Nils

 

Hallo Nils,

 

im Zertigikat ider der Name von neuen DC eingetragen. Sprich wurde ausgestellt für ServerXYZ

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

gut. Dann ist ja nur noch die Kernfrage nach den Meldungen im Ereignisprotokoll offen.

 

Gruß, Nils

 

Gibt es bestimmte ID wonach ich filtern kann ?

 

Habe unter "Sicherheit" und "System" nichts passendes gefunden

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht.

 

Gruß, Nils

 

Unter "Active Diretory-Webdienste" habe ich folgede Infomeldung gefunden:

 

 

Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.
 
 Zertifikatname: xxxxx.xxxx.local

 

Unter Diretory Service habe ich folgende Warnung gefunden:

 

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:
(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder
(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).
 
Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".
 
Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.
 
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.
 
Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 183
Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 8
 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

hm, okay. Die erste Meldung betrifft die Webdienste und hat mit deinem Problem (erst mal) nichts zu tun. Die zweite deutet eigentlich eher darauf hin, dass es funktionieren müsste.

 

Prüf doch noch mal bitte, ob die LDAPS-Verbindungen wirklich nicht gehen. Eine Anleitung findest du hier:

 

http://www.expta.com/2009/11/how-to-test-ldap-over-ssl-connections.html

 

Falls es nicht geht, prüfe noch mal die anderen DCs. Geht es dort?

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich hätte noch eine Idee: Was ist  das denn für ein LDAP-Client?  Vielleicht macht  der Server nur noch  TLS 1.2, was der Client  vielleicht nicht kann?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×