kahnung 10 Geschrieben 6. Juni 2010 Melden Teilen Geschrieben 6. Juni 2010 Hallo an alle Spezialisten! Ich habe folgendes Problem: Damit am ISA Server (über OWA) die Kennwortänderung klappt, muss der ISA Server mit den Domain Controllern über LDAPS (Port 636) kommunizieren. Auf dem ISA Server sind die entsprechenden Regeln eingestellt, im Log kommen auch keine Fehler dazu. Wir haben 2 CA in der Domäne. Der Zugriff über ldp.exe über Port 389 vom ISA (oder auch anderen Server) klappt, über Port 636 nicht. Noch nicht einmal von einem DC zum anderen klappt es mit LDAPS. Ist es nicht so, dass alle Server / PCs, wenn in der Domäne eine CA ist, dieses Zertifikat erhalten, sodass LDAPS theoretisch möglich wäre? Ich habe mir jetzt schon einige Stunden div. Technet Artikel und andere Quellen durchgelesen und ausprobiert, leider ohne Erfolg. Kann mir jemand sagen, welche Zertifikate, in welchem Store (Lokaler Computer: Eigene Zertifikate / Vertrauenswürdige Stammzertifizerungsstellen) sein müssen? Also DC und ISA Server. Die auf dem Server, auf dem die CA installiert ist, ist doch egal?! Ich habe so langsam die Bedenken, dass mit unserem AD was nicht so ganz in Ordnung ist... Bin echt für jeden Tip dankbar! Grüße, kahnung PS: Die Domäne (+ DCs) ist Windows 2000. Der ISA Server ist ein 2006er. Zitieren Link zu diesem Kommentar
Dopamin 10 Geschrieben 7. Juni 2010 Melden Teilen Geschrieben 7. Juni 2010 Moin, hast Du von der CA schon ein Serverzertifikat ausstellen lassen und mal auf einem DC als sein eigenes Zertifikat importiert? Dann sollte das gehen. Gruß Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 7. Juni 2010 Melden Teilen Geschrieben 7. Juni 2010 Hallo kahnung Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle Ist zwar für ein LDAPs Zertifikat im Zusammenhang mit einer Drittanbieter CA. Jedoch sind die Vorraussetzungen für das LDAPs Zertikikat mal zu erfüllen. Grüsse fluehman Zitieren Link zu diesem Kommentar
kahnung 10 Geschrieben 7. Juni 2010 Autor Melden Teilen Geschrieben 7. Juni 2010 Hi! Also ist hab jetzt mal eine Testumgebung (Danke VMware!!) aufgebaut. 4 Windows 2000 Server, davon 2DC, einer CA, ein einfacher memberserver. Nachdem die CA installiert ist, die DCs mal neu gestartet, klappt die Verbindung auf untereinander "einfach so" per LDAPS (Port 636). Auf dem "einfachen" memberserver ist nur in den "Vertrauenswürdigen Stammzertifizierungsschnittstellen" das Zertifikat von der CA. In "Eigene Zertifikate" ist keins drin. Tja. Es könnte so einfach sein... Im dem Produkiven Netz hilft alles nichts. ;-( Komisches Windows... Im Testsystem kann der DC sich sogar auf sich selbst mit LDAPS verbinden. Das geht in der Produktivumgebung auch nicht. @0l2i + fluehmann: Habe ich beides ausprobiert. Klappt nicht. Was hat es denn mit dem "Schannel" auf sich? Auszug aus Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle : Mehrere SSL-Zertifikate Schannel (Microsoft-SSL-Anbieter) wählt das erste gültige Zertifikat aus, das im Speicher des lokalen Computers gefunden wird. Wenn es mehrere gültige Zertifikate im Speicher des lokalen Computers gibt, wählt Schannel möglicherweise nicht das richtige Zertifikat aus. Ich habe dort ja mehrere Zertifikate installiert. Die reden von "Eigene Zertifikate", oder? Wenn noch jemand n Tip hat.... Viele Grüße! Zitieren Link zu diesem Kommentar
Dopamin 10 Geschrieben 7. Juni 2010 Melden Teilen Geschrieben 7. Juni 2010 Die reden von "Eigene Zertifikate", oder? Genau! Du musst dir von deiner CA ein Serverzertifikat ausstellen lassen. Das geht indem Du, wie im Artikel beschrieben, ein Request an die CA stellst. Diese stellt dir ein Zertifikat aus, welches Du in den Ordner "eigene Zertifikate" auf dem DC installieren musst. Sobald dieser DC das Zertifikat hat, solltest Du dich (sofern alles richtig) via ldp.exe über Port 636 connecten können. Gruß Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 7. Juni 2010 Melden Teilen Geschrieben 7. Juni 2010 Jetzt kommt es aber noch darauf an ob du in der Produktion eine Standalone oder AD integrierte CA hast. Hier mal die Möglichkeiten für beide: Configuring Microsoft Active Directory for SSL Access - SNCWiki Grüsse fluehmann Zitieren Link zu diesem Kommentar
kahnung 10 Geschrieben 10. Juni 2010 Autor Melden Teilen Geschrieben 10. Juni 2010 Erstmal Danke für die Tips, konnte aber noch nicht weitersuchen. (Muss mich auf meinen Urlaub vorbereiten) ;-) Danach werde ich nochmal danach schauen! Danke nochmal! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.