Kuddel071089 9 Geschrieben 17. Juli 2017 Melden Teilen Geschrieben 17. Juli 2017 Hallo zusammen, wir haben letzte Woche einen DomainController (WinSrv 2012) aus der AD entfernt und einen neuen DC auf WinSrv 2016 hinzugefügt. Seit dem haben wir Probleme mit LDAP. Wenn man sich an deren Systemen per LDAP (SSL) authentifizierne möchte, bekommt man ein Fehler, dass die Anmeldung nciht möglich war. Klickt man noch einmal auf anmelden funktioniert alles. Ich hab derzeit leider keine Idee wo ich ansetzten soll. DC1: WinSrv 2012 DC2: WinRsv 2016 DC3: WinSrv 2012 Alle Systeme, die LDAP nutzen, haben den Domänen-Namen als LDAP-Server eingetragen. Vielen Dank schon einmal für die Hilfe Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 17. Juli 2017 Melden Teilen Geschrieben 17. Juli 2017 Hallo, was "spricht" den die Ereignisanzeige der Server? Hatte der entfernte Server und der neu hinzugefügte Server unterschiedliche Namen? Gruß Sebastian Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 17. Juli 2017 Melden Teilen Geschrieben 17. Juli 2017 Hat der neue Domänencontroller ein SSL Zertifikat drauf? Solange der kein Zertifikat hat macht LDAP-SSL nämlich gar nichts, es antwortet sogar nichts auf Anfragen auf dem Port. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 17. Juli 2017 Melden Teilen Geschrieben 17. Juli 2017 Geht es bei alles DCs nicht oder nur bei Windows 2016? - Gibt es eine Enterprise CA? Wenn ja, bedienen sich DCs normalerweise selbständig. - Hat der neue Server den GC? Nicht ganz neu, hilft aber vielleicht: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 18. Juli 2017 Autor Melden Teilen Geschrieben 18. Juli 2017 Also SSL LDAP geht nur beim neuen 2016er nicht. EIN Zertifikat ist nach wie vor vorhanden. Ner neue DC hat einen neuen Namen bekommen, aber die IP vom entfernten DC Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Moin, EIN Zertifikat ist nach wie vor vorhanden. Ner neue DC hat einen neuen Namen bekommen das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat? Und was sagt das Ereignisprotokoll? Gruß, Nils Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 18. Juli 2017 Autor Melden Teilen Geschrieben 18. Juli 2017 Moin, das ist erläuterungsbedürftig. Auf welchen Namen lautet das Zertifikat? Und was sagt das Ereignisprotokoll? Gruß, Nils Ich habe jetzt die Zertifizierungsstelle in der MMC hinzugefügt. Wo genau muss ich jetzt schauen ? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Moin, meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor. Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt. Gruß, Nils Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 18. Juli 2017 Autor Melden Teilen Geschrieben 18. Juli 2017 Moin, meine erste Frage zielt dahin, ob der Name im DC-Zertifikat auch der tatsächliche Name des DCs ist. Das ging aus deiner Angabe nicht hervor. Die Frage nach dem Ereignisprotokoll bezieht sich auch auf den neuen DC. Wenn er nicht antwortet, wäre zu vermuten, dass es im Protokoll Fehlermeldungen gibt. Gruß, Nils Hallo Nils, im Zertigikat ider der Name von neuen DC eingetragen. Sprich wurde ausgestellt für ServerXYZ Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Moin, gut. Dann ist ja nur noch die Kernfrage nach den Meldungen im Ereignisprotokoll offen. Gruß, Nils Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 18. Juli 2017 Autor Melden Teilen Geschrieben 18. Juli 2017 Moin, gut. Dann ist ja nur noch die Kernfrage nach den Meldungen im Ereignisprotokoll offen. Gruß, Nils Gibt es bestimmte ID wonach ich filtern kann ? Habe unter "Sicherheit" und "System" nichts passendes gefunden Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Moin, schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht. Gruß, Nils Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 18. Juli 2017 Autor Melden Teilen Geschrieben 18. Juli 2017 Moin, schau auch unter "Applikation" sowie bei den Dienstprotokollen unter "Verzeichnisdienst". Wäre komisch, wenn dort nichts auftaucht. Gruß, Nils Unter "Active Diretory-Webdienste" habe ich folgede Infomeldung gefunden: Von den Active Directory-Webdiensten konnte kein Serverzertifikat mit dem angegebenen Zertifikatnamen gefunden werden. Für Zertifikate ist die Verwendung von SSL/TLS-Verbindungen erforderlich. Wenn Sie SSL/TLS-Verbindungen verwenden möchten, stellen Sie sicher, dass auf dem Computer ein gültiges Serverauthentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle installiert ist. Zertifikatname: xxxxx.xxxx.local Unter Diretory Service habe ich folgende Warnung gefunden: Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen: (1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder (2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung). Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923". Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten. Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren. Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher. Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 183 Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 8 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Moin, hm, okay. Die erste Meldung betrifft die Webdienste und hat mit deinem Problem (erst mal) nichts zu tun. Die zweite deutet eigentlich eher darauf hin, dass es funktionieren müsste. Prüf doch noch mal bitte, ob die LDAPS-Verbindungen wirklich nicht gehen. Eine Anleitung findest du hier: http://www.expta.com/2009/11/how-to-test-ldap-over-ssl-connections.html Falls es nicht geht, prüfe noch mal die anderen DCs. Geht es dort? Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. Juli 2017 Melden Teilen Geschrieben 18. Juli 2017 Ich hätte noch eine Idee: Was ist das denn für ein LDAP-Client? Vielleicht macht der Server nur noch TLS 1.2, was der Client vielleicht nicht kann? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.