Jump to content

Client - Server SLDAP

pressi

Von pressi
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

pressi Explorer

pressi   10

Geschrieben
Geschrieben

Hallo,

 

seit einigen Tagen funktioniert unser SLDAP (Port 636) Zugriff auf beide Domaincontroller nicht mehr, LDAP funktioniert.

Aufgefallen ist dies, da die SLDAP Auth per externer VPN Verbindung gescheitert ist.

 

Die SLDAP Verbindung zwischen den 2 DCs funktioniert fehlerfrei.

Eine SLDAP Verbindung von einem Windows Client zu einem der DCs scheitert. Die Firewall der DCs wurde testweise abgeschaltet. Routingprobleme auf Portebene konnten auch ausgeschlossen werden (Ereignisanzeige zeigt ja auch an, dass das Packet ankommt).

 

Bereits auschließen (zumindest theoretisch) konnten wir die Cipher Auswahl, wir haben hier Clientseitig und Serverseitig mehrere Ciphers gefunden, die eine Verbindung ermöglichen würden.

 

Anbei die Ereignisanzeige des Windows Servers und im Anhang dazu passend ein ucap Screenshot des Handshakes von VPN Server zu DC (welcher identisch ist mit einem Verbindungstest von Windows Client zu einem DC).

Computer:      DCxx.xx.xx
Beschreibung:
Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36874</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73563</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxx.xx.xx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="Protocol">TLS 1.2</Data>
  </EventData>
</Event>

Protokollname: System
Quelle:        Schannel
Datum:         19.06.2017 09:27:29
Ereignis-ID:   36888
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DCxx.xx.xx
Beschreibung:
Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36888</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73564</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxxx.xxx.xxx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="AlertDesc">40</Data>
    <Data Name="ErrorState">1205</Data>
  </EventData>
</Event>

Hat jemand einen Tip? Wir haben uns an dem Problem etwas festgefressen und uns gehen so langsam die Ideen aus.

 

Grüße Pressi

 

Link zu diesem Kommentar
mwiederkehr Mentor

mwiederkehr   373

Geschrieben
Geschrieben

Es scheint ein Problem mit dem Handshake zu geben, darauf deutet jedenfalls die Meldung hin.

 

Hier ein Beitrag von jemandem mit dem gleichen Problem: https://social.technet.microsoft.com/Forums/ie/en-US/b6ffa278-4a04-4609-ac35-8390f5ba9cb6/ldap-over-ssl-on-windows-2012r2-server-dcs-tls-12-not-working?forum=winserversecurity

 

Es ist mir allerdings im Moment nicht klar, weshalb es zwischen den beiden DC funktioniert. Hat der VPN Server eine ältere Windows-Version installiert als die DC?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...