olc 18 Geschrieben 18. Januar 2011 Melden Teilen Geschrieben 18. Januar 2011 Hi nizo, nein, Du verstehst nicht was ich sage. ;) Du *benötigst* einen Account für den Zugriff, sonst wird der LDAP bind anonym ausgeführt und es kann nicht klappen. Also prüfe noch einmal, was genau in Kerio eingestellt ist, hast Du dazu eine Dokumentation? Außerdem hast Du oben geschrieben, daß der LDAP/S Zugriff der LDP.exe auch nicht funktioniert. Das war der Ausgangspunkt des Threads. Aus Deiner Antwort entnehme ich nun, daß Du es derzeit mit LDAP und nicht mit LDAP/S versuchst? Welche Updates hast Du denn bei Kerio und beim Windows Server installiert? Falls es zeitlich problematisch ist, ziehe einen Dienstleister hinzu. Hier im Forum ist es schwer bei solchen spezifischen Fragestellungen zu helfen, wenn die Ausgangslage nicht ganz sauber beschrieben wird. Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 20. Januar 2011 Autor Melden Teilen Geschrieben 20. Januar 2011 Hi Olc, Danke Dir. Du hast 2 Nachrichten von mir. Ich habe es vorher ldp.exe über IP /port 636 getestet, was nicht geklappt wurde. Deswegen habe ich es denn gedacht, dass es daran liegen konnte. Kerio Dok. Chapter10Mapping users from directory services Hier sind die Errors [21/Dec/2010 18:02:03] LDAPS: Cannot search in cn=groups,dc=KU,dc=local on LDAP server 192.168.0.231, error: Operations error (code 1) [21/Dec/2010 18:02:03] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:09] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:09] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:10] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:15] LDAPS: Schema extensions have not found on LDAP server 192.168.0.231: Operations error Updates:- Siehe Anhang. Bitte Schicke mir eine Nachricht oder Email. Gruß Nizo Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Januar 2011 Melden Teilen Geschrieben 20. Januar 2011 Hi Nizo, zuallererst einmal hast Du eine etwas falsche Erwartungshaltung: Wie viele andere hier auch, liefere ich keinen Support per PN oder auf anderen Wegen. Ein Forum lebt von den öffentlichen Beiträgen und ist nicht für die persönlichen Belange eines Einzelnen da. Wie die anderen hier im Forum bin ich auch in meiner Freizeit hier, d.h. meine Reaktionszeit usw. läßt sich nicht durch mehrere PNs, Freundschaftsanfragen usw. erhöhen. Wenn ich keine Lust oder Zeit zum Antworten habe, dann mache ich es nicht. Wenn Du eine Antwort auf Deine PNs erwartest, dann darfst Du keine Blockade für PNs einschalten - das ist bei Dir nämlich der Fall. Ich hätte Dir schlichtweg nicht einmal absagen können. Ich empfehle Dir dringend einen Dienstleister einzuschalten. Bevor Eurer System in nächster Zeit vollkommen steht ist das gut investiertes Geld. Zum Thema: Gibt es tatsächlich einen Container mit dem Namen "cn=groups,dc=KU,dc=local" in Deinem AD? Oder ist es eher: - "cn=users,dc=KU,dc=local" - "cn=builtin,dc=KU,dc=local" - oder "OU=groups,dc=KU,dc=local" Unter Umständen ist das schon Dein Problem. Obwohl mich dann wundern würde, wieso es unter Windows Server 2003 oder Deiner Testumgebung funktioniert hat und erst nach der Installation von Updates nicht mehr geht. Wie gesagt - ich meine es nicht böse, aber mit dem vorhandenen (oder nicht vorhandenen) Kenntnissen im AD Bereich wird es über ein FOrum kaum möglich sein, Dein Problem zu lösen. Denk noch einmal über einen Softwarewechsel nach, der Anbieter der Lösung sollte in der Lage sein zu helfen. Wenn er das nicht kann, würde ich ihn wechseln. Zusätzlich solltest Du wie angesprochen einen Dienstleister hinzuziehen. Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 20. Januar 2011 Autor Melden Teilen Geschrieben 20. Januar 2011 Hi Olc, Vielen Dank für Deine Antwort. Ich weiß Deine Arbeit sehr gut zu schätzen. Mein AD ist:- - "cn=users,dc=KU,dc=local" - "cn=builtin,dc=KU,dc=local" Ich habe es aber versucht mit Event ID 1411 ? SPN Generation den SPN einzurichten und auch dcdiag nachdem ich die Felhermeldung mit SPN bekommen habe. ###################### Microsoft Windows [Version 6.0.6002] Copyright © 2006 Microsoft Corporation. Alle Rechte vorbehalten. C:\Users\Administrator>dcdiag /test:outboundsecurechannels /s:kde2k8mail, /testdomain:ku.local Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Auf dem Server kde2k8mail, ist beim Suchen des LDAP-Suchfunktionsattributs ein Fehler aufgetreten. Rückgabewert = 81 Der Host kde2k8mail, konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server, DHCP, Servername, usw. ################## Nslookup funktioniert C:\Users\Administrator>nslookup kde2k8mail Server: kde2k8dc1.ku.local Address: 192.168.0.231 Name: kde2k8mail.ku.local Address: 192.168.0.232 ################## Ich möchte auch gerne mit Dir über ein Dienstleister reden, aber hier im Forum geht's nicht oder:( Danke im Voraus für Deine Hilfe. Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Januar 2011 Melden Teilen Geschrieben 20. Januar 2011 Hi Nizo, nur, um das Thema hier abschließend noch einmal ein wenig zu ordnen und strukturieren eine kurze Einschätzung der Lage: Punkt 1, SSL: Das Thema ist offensichtlich nicht relevant, weil es ausschließlich bei Deinen LDP.exe Tests aufkam. Ich würde es also erst einmal nicht weiter betrachten. ld = ldap_open("192.168.0.232", 636); Error <0x51>: Fail to connect to 192.168.0.232. Punkt 2, LDAP bind Ein potentielles Problem findet sich im LDAP bind. Aus meiner Sicht mußt Du hier in der Kerio Konfiguration einen Account angeben, der die Verbindung zum AD herstellt (mittels LDAP bind). Prüfe also noch einmal die Kerio Konfiguration. 192.168.0.232 192.168.0.236 LDAP searchResDone(2) operationsError (000004DC: LdapErr: DSID-0C0906DD, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v1772) [0 results] Punkt 3, SPN: Ich weiß nicht so recht, wie Du auf das Thema gekommen bist. Aber aus den bisher genannten Daten geht nicht hervor, daß Kerberos zum Einsatz kommt zwischen AD und Kerio. Daher würde ich erst einmal auch das Thema SPN nicht weiter betrachten. Punkt 4, Scope der LDAP Suche Wenn ich mich nicht irre, ist die Angabe von "cn=groups,dc=KU,dc=local" nicht korrekt. Auch hier vermute ich, daß in der Kerio Konfiguration die richtige "LDAP base" angegeben werden muß. Also zum Beispiel: - cn=users,dc=KU,dc=local - cn=builtin,dc=KU,dc=local - dc=KU,dc=local oder so etwas in der Art. Das kommt auf Deine AD Struktur an und Du bist der einzige, der diese hier kennt. Also prüfe die Kerio Konfiguration auf die "Base DN" [21/Dec/2010 18:02:03] LDAPS: Cannot search in cn=groups,dc=KU,dc=local on LDAP server 192.168.0.231, error: Operations error (code 1) [21/Dec/2010 18:02:03] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:09] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:09] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:10] Cannot list all users, LDAP server error: 801. [21/Dec/2010 18:02:15] LDAPS: Schema extensions have not found on LDAP server 192.168.0.231: Operations error Punkt 5, DNS Mir ist auch hier nicht ganz klar, was Du mit dem DCDIAG Befehl da eigentlich testen wolltest. Aber ich denke im Moment nicht, daß hier Dein Problem liegt. Also laß es erst einmal außen vor und prüfe die anderen Fehler - bzw. lasse diese durch einen Dienstleister prüfen. C:\Users\Administrator>dcdiag /test:outboundsecurechannels /s:kde2k8mail, /testdomain:ku.local Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Auf dem Server kde2k8mail, ist beim Suchen des LDAP-Suchfunktionsattributs ein Fehler aufgetreten. Rückgabewert = 81 Der Host kde2k8mail, konnte nicht zu einer IP-Adresse aufgelöst werden. Überprüfen Sie DNS-Server, DHCP, Servername, usw. Ich verabschiede mich mit der Einschätzung aus diesem Thread - ich denke ich habe alle mir möglichen Hinweise gegeben. Viele Grüße olc Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 20. Januar 2011 Autor Melden Teilen Geschrieben 20. Januar 2011 Vieln Dank :) Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 15. Juni 2011 Autor Melden Teilen Geschrieben 15. Juni 2011 Das Problem war mit AD DB. Server mit Dcpromo vom Domain raus und noch mal Dcpromo. Alles nachher war OK. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. Juni 2011 Melden Teilen Geschrieben 15. Juni 2011 Hi, der Fehler lag mit sehr hoher Wahrscheinlichkeit *NICHT* an der AD DB. Die oben genannten 5 Punkte zeigen in vollkommen andere Richtungen. Vermutlich hast Du diese nur "nebenbei" mit dem DCPROMO ebenfalls mit erledigt. Dennoch danke für die Rückmeldung. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.