saluna 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Hi, Wir versuchen schon eine Weile unsere Software mit LDAPs gegen einen neuen Active Directory Server authentifizieren zu lassen. Das ganze funktioniert aktuell schon gegen einen zweiten Active Directory Server ohne Probleme. Da dieser jedoch abgeschalten werden soll, muss die Authentifizierung entsprechend auf den anderen Server geändert werden. Leider funktioniert dies noch nicht. Ein Versuch z.B. mit Telnet auf den ldaps port zuzugreifen wird immer wieder resettet. Also haben wir das ganze mitgesnifft: Vereinfacht dargestelltes Ergebnis: server1 > server2 SYN server2 > server1 SYN, ACK server1 > server2 ACK server2 > server1 FIN, ACK server1 > server2 Client Hello server2 > server1 RST, ACK Hier sieht man also schön, dass die Verbindung tatsächlich resettet wird. Auf dem Server ist in "Eigene Zertifikate" ist auch das entsprechende Zertifikat für den Server enthalten, damit SSL überhaupt möglich ist. In der Ereignisanzeige werden keine weiteren Fehler angezeigt. Wir wissen hier nicht mehr weiter?? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Kannst du die Verbindung per ldp herstellen? Überprüfen einer LDAPS-VerbindungGehen Sie nach der Installation eines Zertifikats folgendermaßen vor, um sicherzustellen, dass LDAPS aktiviert ist: 1. Starten Sie das Verwaltungsprogramm für das Active Directory (ldp.exe). Hinweis: Dieses Program wird als Bestandteil der Windows 2000-Supporttools installiert. 2. Klicken Sie im Menü Connection (Verbindung) auf Connect (Verbinden). 3. Geben Sie den Namen des Domänencontrollers an, zu dem eine Verbindung hergestellt werden soll. 4. Geben Sie 636 als Portnummer an. 5. Klicken Sie auf OK. Im rechten Fenster sollten RootDSE-Informationen ausgegeben werden und eine erfolgreich hergestellte Verbindung anzeigen. Quelle: Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle Ist das Zertifikat auch entsprechend des verlinkten KB-Artikels angelegt worden? Oder habt ihr das Zertifikat von eurem anderen Server übernommen? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Servus, führe doch erneut die Aktion durch und lasse im Hintergrund ADInsight laufen. Dort erscheinen dann evtl. gezieltere Informationen. AdInsight Zitieren Link zu diesem Kommentar
saluna 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 Vielen Dank für eure super schnellen Antworten. Mit ldp kann ich keine Verbindung auf den LDAPS Port herstellen, weder auf den neuen, noch auf den alten Server. Das liegt aber daran, dass der Zertifikatname der externe DNS Name ist, auf den der interne Server gemapped ist. Und von extern habe ich keine Möglichkeit das zu testen. Das Zertifikat haben wir vom alten Server übernommen. Könnte dies das Problem sein? Da der externe DNS Name auf den neuen Server gemapped wurde, sollte das von der Namensauflösung her nicht das Problem darstellen. Danke für den Tipp mit ADInsight. Das werde ich das Wochenende über mal testen. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Hm, wenn ich den oben verlinkten Artikel richtig verstehe, dann könnte das eine Rolle spielen: Der voll qualifizierte Domänenname des Domänencontrollers im Active Directory (zum Beispiel DC01.DOMAIN.COM) muss an einer der folgenden Stellen erscheinen:• Allgemeiner Name (CN = Common Name) im Antragstellerfeld. • DNS-Eintrag in der Erweiterung "Alternativer Antragstellername". Erstelle doch mal spaßeshalber für deinen zweiten DC ein eigenes LDAPS-Zertifikat und teste dann nochmal. @Daim: Danke für ADInsight... ;) Ist gleich in meiner Linksammlung gelandet und hat meine Sammlung in den PortableApps auf dem Stick ergänzt. Kann ich in meiner Situation gerne mal brauchen. Zitieren Link zu diesem Kommentar
saluna 10 Geschrieben 25. Juli 2008 Autor Melden Teilen Geschrieben 25. Juli 2008 Ich werde es nochmal mit einem neuen Zertifikat versuchen. Schade, AdInsight scheint bei uns nicht zu funktionieren. Der Button um etwas mitzuschneiden ist leider ausgegraut.:confused: Zitieren Link zu diesem Kommentar
NilsK 2.961 Geschrieben 25. Juli 2008 Melden Teilen Geschrieben 25. Juli 2008 Moin, Das Zertifikat haben wir vom alten Server übernommen. Könnte dies das Problem sein? selbstverständlich. Genau das ist das Problem. Ein Zertifikat belegt die Identität eines Servers, festgemacht am Namen. Wenn du nun das Zertifikat von ServerA auf ServerB überträgst, passt das natürlich nicht. Das ist, als wenn Olga mit dem Pass von Hans losrennt. Das fällt auch recht bald auf. Gruß, Nils Zitieren Link zu diesem Kommentar
saluna 10 Geschrieben 18. August 2008 Autor Melden Teilen Geschrieben 18. August 2008 Hallo zusammen, ich habe das ganze nun nochmal mit einem neu erstellten Zertifikat versucht. Der Fehler bleibt der gleiche. Die Fehlermeldung seitens der Software, die gegen LDAP verbinden soll: [Mon Aug 18 17:32:24 2008] [warn] [client 123.123.123.123] [14510] auth_ldap authenticate: user xyz authentication failed; URI /pfad [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server] Hat noch jemand eine Idee? Der Fehler muss ja eigentlich auf Windows Seite liegen, da es wiegesagt mit dem anderen LDAP Server klappt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.