Active Directory LDAPs Problem

[saluna 10]

Hi,

 

Wir versuchen schon eine Weile unsere Software mit LDAPs gegen einen neuen Active Directory Server authentifizieren zu lassen.

Das ganze funktioniert aktuell schon gegen einen zweiten Active Directory Server ohne Probleme. Da dieser jedoch abgeschalten werden soll, muss die Authentifizierung entsprechend auf den anderen Server geändert werden.

Leider funktioniert dies noch nicht. Ein Versuch z.B. mit Telnet auf den ldaps port zuzugreifen wird immer wieder resettet. Also haben wir das ganze mitgesnifft:

 

Vereinfacht dargestelltes Ergebnis:

server1 > server2 SYN

server2 > server1 SYN, ACK

server1 > server2 ACK

server2 > server1 FIN, ACK

server1 > server2 Client Hello

server2 > server1 RST, ACK

 

Hier sieht man also schön, dass die Verbindung tatsächlich resettet wird.

 

Auf dem Server ist in "Eigene Zertifikate" ist auch das entsprechende Zertifikat für den Server enthalten, damit SSL überhaupt möglich ist.

In der Ereignisanzeige werden keine weiteren Fehler angezeigt.

 

Wir wissen hier nicht mehr weiter??

[phoenixcp 10]

Kannst du die Verbindung per ldp herstellen?

Überprüfen einer LDAPS-Verbindung

Gehen Sie nach der Installation eines Zertifikats folgendermaßen vor, um sicherzustellen, dass LDAPS aktiviert ist:

1. Starten Sie das Verwaltungsprogramm für das Active Directory (ldp.exe).

 

Hinweis: Dieses Program wird als Bestandteil der Windows 2000-Supporttools installiert.

2. Klicken Sie im Menü Connection (Verbindung) auf Connect (Verbinden).

3. Geben Sie den Namen des Domänencontrollers an, zu dem eine Verbindung hergestellt werden soll.

4. Geben Sie 636 als Portnummer an.

5. Klicken Sie auf OK.

 

Im rechten Fenster sollten RootDSE-Informationen ausgegeben werden und eine erfolgreich hergestellte Verbindung anzeigen.

Quelle: Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

 

Ist das Zertifikat auch entsprechend des verlinkten KB-Artikels angelegt worden? Oder habt ihr das Zertifikat von eurem anderen Server übernommen?

[Daim 12]

Servus,

 

führe doch erneut die Aktion durch und lasse im Hintergrund ADInsight laufen.

Dort erscheinen dann evtl. gezieltere Informationen.

 

AdInsight

[saluna 10]

Vielen Dank für eure super schnellen Antworten.

 

Mit ldp kann ich keine Verbindung auf den LDAPS Port herstellen, weder auf den neuen, noch auf den alten Server. Das liegt aber daran, dass der Zertifikatname der externe DNS Name ist, auf den der interne Server gemapped ist. Und von extern habe ich keine Möglichkeit das zu testen.

 

Das Zertifikat haben wir vom alten Server übernommen. Könnte dies das Problem sein? Da der externe DNS Name auf den neuen Server gemapped wurde, sollte das von der Namensauflösung her nicht das Problem darstellen.

 

Danke für den Tipp mit ADInsight. Das werde ich das Wochenende über mal testen.

[phoenixcp 10]

Hm, wenn ich den oben verlinkten Artikel richtig verstehe, dann könnte das eine Rolle spielen:

Der voll qualifizierte Domänenname des Domänencontrollers im Active Directory (zum Beispiel DC01.DOMAIN.COM) muss an einer der folgenden Stellen erscheinen:

• Allgemeiner Name (CN = Common Name) im Antragstellerfeld.

• DNS-Eintrag in der Erweiterung "Alternativer Antragstellername".

 

Erstelle doch mal spaßeshalber für deinen zweiten DC ein eigenes LDAPS-Zertifikat und teste dann nochmal.

 

@Daim: Danke für ADInsight... ;) Ist gleich in meiner Linksammlung gelandet und hat meine Sammlung in den PortableApps auf dem Stick ergänzt. Kann ich in meiner Situation gerne mal brauchen.

[saluna 10]

Ich werde es nochmal mit einem neuen Zertifikat versuchen.

 

Schade, AdInsight scheint bei uns nicht zu funktionieren. Der Button um etwas mitzuschneiden ist leider ausgegraut.:confused:

[NilsK 2.918]

Moin,

 

Das Zertifikat haben wir vom alten Server übernommen. Könnte dies das Problem sein?

 

selbstverständlich. Genau das ist das Problem.

 

Ein Zertifikat belegt die Identität eines Servers, festgemacht am Namen. Wenn du nun das Zertifikat von ServerA auf ServerB überträgst, passt das natürlich nicht. Das ist, als wenn Olga mit dem Pass von Hans losrennt. Das fällt auch recht bald auf.

 

Gruß, Nils

[saluna 10]

Hallo zusammen,

 

ich habe das ganze nun nochmal mit einem neu erstellten Zertifikat versucht. Der Fehler bleibt der gleiche.

 

Die Fehlermeldung seitens der Software, die gegen LDAP verbinden soll:

 

[Mon Aug 18 17:32:24 2008] [warn] [client 123.123.123.123] [14510] auth_ldap authenticate: user xyz authentication failed; URI /pfad [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server]

 

 

Hat noch jemand eine Idee?

 

Der Fehler muss ja eigentlich auf Windows Seite liegen, da es wiegesagt mit dem anderen LDAP Server klappt.