LDAP Abfrage schägt fehl - neue DCs

stevenki · vor 11 Stunden

Hallo,

wir sind derzeit dabei, sämtliche VMs von Server 2012 R2 / 2016 und 2019 zu 2025 zu migrieren.

Die DC sind dabei bereits erfolgt, beide auf 2025.

Leider haben wir jetzt mit externen Programmen Probleme, die vorher immer per LDAP die DCs abgefragt haben.

Ein Fehlermeldung unseres MDM Systems lautet:

Could not connect to Ldap Server: 0x8 (Strong(er) authentication required; 00002028: LdapErr: DSID-0C0903CC, comment: The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection, data

Ich habe folgende GPO (Default Domain Controller Policy) bereits folgendermaßen angepasst:

Domänencontroller: Signaturanforderungen für LDAP-Server -> Keine

Es funktioniert trotzdem nicht. Das wirklich merkwürdige an der Sache ist jedoch, es funktioniert nur auf 1! DC nicht. Auf dem anderem DC funktioniert es problemlos.

Wir haben nun - als temporäre Lösung - in sämtlichen Programmen einfach den LDAP Server auf den funktionierenden DC gelenkt und alles funktioniert erstmal.

Trotzdem würde ich das Problem gern lösen und verstehen, was der 2. DC für ein Problem hat.

Habt ihr Lösungsansätze für mich?

cj_berlin · vor 10 Stunden

Yup, 2025 akzeptiert keine Simple Binds mehr ohne TLS. Die Frage ist also eher, warum es bei einem funktioniert als warum es bei dem anderen nicht tut.

Kann es sein, dass bei dem DC, wo es funktioniert, ein TLS-Zertifikat eingespielt ist, bei dem LDAPS ausgehandelt werden kann, und bei dem anderen nicht? Vielleicht ist die Anwendung am Ende schlau genug, LDAPS zu probieren?

Nebenfrage, die mit dem Problem nichts zu tun hat: Habt ihr eure Permissions im AD bereits überprüft und sichergestellt, dass BadSuccessor nicht möglich ist?

stevenki · vor 10 Stunden

Hallo, danke für deine Antwort.

Also beide DCs haben ein Zertifikat mit der Vorlage Domänencontroller , sonst kein weiteres.

Bei der einen Anwendungen (es betrifft aber wie gesagt alle Anwendungen bei uns) kann ich auch extra

"keine Verschlüsselung" oder "SSL verwenden" einstelle.

Wenn ich SSL verwenden aktiviere funktioniert weder DC1 noch DC2, da lautet die Fehlermeldung

Could not connect to Ldap Server: 0x51 (Can't contact LDAP server; (unknown error code)): ldaps://192.168.1.10:636

Ich stehe total auf dem Schlauch aber danke für deine Hilfe

cj_berlin · vor 10 Stunden

Naja, wenn Du TLS verwenden willst, musst Du auch einen Namen verwenden, der im Zertifikat steht, keine IP-Adresse :-)

Und den Port 636 auch offen haben :-)

NorbertFe · vor 9 Stunden

vor 24 Minuten schrieb stevenki:

Also beide DCs haben ein Zertifikat mit der Vorlage Domänencontroller , sonst kein weiteres.

Die Vorlage sollte man nicht mehr verwenden. Also CA entsprechend mit Kerberos Vorlage konfigurieren und die alte Vorlage entfernen. Außerdem das automatische Zertifikats-Enrollment für die DCs konfigurieren.

stevenki · vor 9 Stunden

Port ist natürlich offen, ein Telnet auf den Port zeigt auch eine Verbindung ... das gepostete war etwas überhastet, habe es natürlich auch mit DNS Namen probiert, keine Änderung :-(

Allerdings steht die GPO noch wie oben geschrieben, ist damit TLS gänzlich deaktiviert?

NorbertFe · vor 9 Stunden

Wenn ich die Fehlermeldung oben richtig deute, dann ist halt LDAP Channel Bind in 2025 per Default aktiv und dein Client kommt damit nicht klar. Ich würde am Client suchen und nicht am DC.

cj_berlin · vor 9 Stunden

vor 37 Minuten schrieb NorbertFe:

Wenn ich die Fehlermeldung oben richtig deute, dann ist halt LDAP Channel Bind in 2025 per Default aktiv und dein Client kommt damit nicht klar. Ich würde am Client suchen und nicht am DC.

wenn ein und derselbe Client lt. OP mit einem 2025er DC klar kommt und mit einem anderen 2025er DC nicht...

NorbertFe · vor 8 Stunden

Dann würde ich trotzdem am Client suchen und hinterher dafür sorgen, dass sich beide DCs gleich sicher verhalten ;)

stevenki · vor 5 Stunden

Fehler gefunden - es tut mir leid für die Verwirrung.

Aufgrund unserer ganzen Core Installationen (fast alles mittlerweile bei uns unter Core) ist es nicht direkt aufgefallen - für den 1 DC wurde versehentlich das falsche ISO verwendet, es ist also eine 2022 VM. Das erklärt das unterschiedliche Verhalten der 2 DCs, warum es bei einem geht und beim anderen nicht.

Außerdem habe ich mich noch mal in diesen Artikel eingearbeitet:

https://www.windowspro.de/philip-lorenz/domain-controller-ldap-channel-binding-ldap-signing-absichern

Offensichtlich verhält sich Server 2025 da nicht mehr wie 2022, denn selbst wenn ich alles "optional" einschalte, Channel-Binding und Signierung ist immer aktiv. Deswegen schlägt das ganze auf dem 2025er DC fehl.

Ich konnte nun das ganze erfolgreich auf LDAPS umbauen und es funktioniert mit beiden DCs :-)

Sorry für die Verwirrung und danke an alle Beteilgten

cj_berlin · vor 5 Stunden

vor 16 Minuten schrieb stevenki:

Offensichtlich verhält sich Server 2025 da nicht mehr wie 2022, denn selbst wenn ich alles "optional" einschalte, Channel-Binding und Signierung ist immer aktiv. Deswegen schlägt das ganze auf dem 2025er DC fehl.

Das sagte ich doch bereits in der ersten Antwort ;-)

Aber schön, dass Du offensichtlich zu 100% Anwendungen hast, die LDAPS überhaupt können. Da kenne ich andere Umgebungen...

NorbertFe · vor 5 Stunden

vor 3 Stunden schrieb NorbertFe:

Dann würde ich trotzdem am Client suchen und hinterher dafür sorgen, dass sich beide DCs gleich sicher verhalten

War also direkt zielführend. Umstellung auf LDAPs und den Unterscheid behoben ;)

Anmelden

LDAP Abfrage schägt fehl - neue DCs

Empfohlene Beiträge

stevenki 2

cj_berlin 1.448

stevenki 2

cj_berlin 1.448

NorbertFe 2.230

stevenki 2

NorbertFe 2.230

cj_berlin 1.448

NorbertFe 2.230

stevenki 2

cj_berlin 1.448

NorbertFe 2.230

Schreibe einen Kommentar

Menu

Aktivitäten