Jump to content

LDAP Probleme in AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben letzte Woche einen DomainController (WinSrv 2012) aus der AD entfernt und einen neuen DC auf WinSrv 2016 hinzugefügt.

 

Seit dem haben wir Probleme mit LDAP.

 

Wenn man sich an deren Systemen per LDAP (SSL) authentifizierne möchte, bekommt man ein Fehler, dass die Anmeldung nciht möglich war.

 

Klickt man noch einmal auf anmelden funktioniert alles.

 

Ich hab derzeit leider keine Idee wo ich ansetzten soll.

 

DC1: WinSrv 2012

DC2: WinRsv 2016

DC3: WinSrv 2012

 

Alle Systeme, die LDAP nutzen, haben den Domänen-Namen als LDAP-Server eingetragen.

 

Vielen Dank schon einmal für die Hilfe

Link zu diesem Kommentar

Moin,

 

meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor.

 

Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt.

 

Gruß, Nils

 

Hallo Nils,

 

im Zertigikat ider der Name von neuen DC eingetragen. Sprich wurde ausgestellt für ServerXYZ

Link zu diesem Kommentar

Moin,

 

schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht.

 

Gruß, Nils

 

Unter "Active Diretory-Webdienste" habe ich folgede Infomeldung gefunden:

 

 

Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist.
 
 Zertifikatname: xxxxx.xxxx.local

 

Unter Diretory Service habe ich folgende Warnung gefunden:

 

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:
(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder
(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).
 
Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".
 
Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.
 
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.
 
Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 183
Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 8
 
Link zu diesem Kommentar

Moin,

 

hm, okay. Die erste Meldung betrifft die Webdienste und hat mit deinem Problem (erst mal) nichts zu tun. Die zweite deutet eigentlich eher darauf hin, dass es funktionieren müsste.

 

Prüf doch noch mal bitte, ob die LDAPS-Verbindungen wirklich nicht gehen. Eine Anleitung findest du hier:

 

http://www.expta.com/2009/11/how-to-test-ldap-over-ssl-connections.html

 

Falls es nicht geht, prüfe noch mal die anderen DCs. Geht es dort?

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...