Buttercremus 0 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Hallo zusammen, ich bin neu hier und benötige eure Erfahrung/Hilfe, Aktuell steh ich vor der Migration der Domaincontroller von 2008R2 auf 2016. An sich sollte das eigentliche einbinden keine große Schwierigkeit darstellen (Hoffen wir es ? ) Nun zu meiner Frage: Gibt es einen einfacheren Weg um Verbindungen, welche sich direkt per LDAP beim DC melden zu finden und aufzulisten? Haben viele Server, die sich per LDAP verbinden und einen Primären und Sekundären DNS-Namen von einem DC eintragen haben. Sollte dieser Weg fallen, dann würde es hier vermutlich zu Fehlern kommen. Kenn nur die Möglichkeit Ereignisanzeige die einzelnen Ereignisse mit der ID 2886, 2887, 2888, 2889 herauszufiltern und zu analysieren. Bin auch für weitere Tipps und Ratschläge für die Migration hilfreich. Gruß Buttercremus Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Moin, auf dem Weg, der dir vorschwebt, wird das nicht funktionieren. Der DC, bei dem die Verbindungsanfragen eingehen, weiß ja nicht, woher der Client die Information hat. Du wirst im Zweifel also die Applikationen prüfen müssen, die das AD abfragen. Dort sollte dann weder der Name noch die IP-Adresse eines konkreten Servers stehen, sondern idealerweise der DNS-Name der Domäne. Gruß, Nils Zitieren Link zu diesem Kommentar
Buttercremus 0 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 Hallo Nils, ich trage ja in der Application meine LDAP Verbindungsinformationen ein. Diese schlagen dann bei dem Domaincontroller auf und werden im Eventlog gelistet. Ist aber wirklich mühsam auf allen DC's herauszufinden, welche Applicationen sich per LDAP verbinden. Was schlägst du als Idee vor? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 (bearbeitet) Moin, mag sein, aber das hilft dir ja nicht. Du siehst dann, dass Computer X eine Abfrage gestellt hat. Ob Die Applikation auf Computer X aber auf einen festen Servernamen zugreift (und dann fehlschlägt, wenn es den Namen nicht mehr gibt) oder ob die Applikation den Namen aktuell aufgelöst hat, siehst du auf die Weise nicht, Du wirst dir also die Applikationen auf den Endgeräten ansehen müssen. Da normalerweise eine Applikation X immer auf dieselbe Weise konfiguriert ist, auch wenn sie auf 2000 Clients eingerichtet wurde, ist der Prüf-Aufwand typischerweise nicht so groß. Der Aufwand zum Ändern kann aber schon beträchtlich sein. Man könnte auch dem neuen DC einfach den Namen und die IP-Adresse des alten geben, sobald dieser entfernt wurde. Das ist aber keine Lösung des Problems, sondern verschiebt es nur in die Zukunft. Gruß, Nils bearbeitet 22. April 2020 von NilsK 1 Zitieren Link zu diesem Kommentar
Buttercremus 0 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 Ich glaub wir reden aneinender vorbei... :) Mir geht es hauptsächlich darum, die Applikationen, welche eine Replikation per LDAP von dem AD durchführen zu finden. Bspw. Mobile Device Management. Die User werden hier nur aus dem AD repliziert und anschließend können die Berechtigungsgruppen zugeordnet werden. Und diese LDAP Verbindung von dem Mobile Device Management sollte doch irgendwo im DC-Log auffindbar sein... Das mit dem Namen habe ich auch schon bedacht. Dachte dann eher an neuen Servername und anschließend einen Alias. Aber wie du schon sagst, es verschiebt das Problem nur in die Zukunft... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Moin, dann ist mir das Problem nicht klar, das du lösen willst. Beschreibe bitte noch mal. Und bitte nie-, nie-, niemals bei DCs mit Alias-Namen arbeiten. Das ist aus gutem Grund nicht supportet. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Hi, für die Zukunft könnte man auch einen Loadbalancer für solche LDAP Anfragen implentieren. Dann hast du immer nur eine IP / einen Namen und tauscht dahinter einfach die Server-Objekte aus. (Laut Microsoft ist das allerdings unsupported: https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx) Gruß Jan Zitieren Link zu diesem Kommentar
Buttercremus 0 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 ich habe mehrer Systeme welche eine feste LDAP Verbindung zu einem Primären und Sekundären DC eingetragen haben(Siehe Anhang). Dieser Eintrag führt nach einer Migration bzw. abschalten der alten DC ins leere. Ich möchte gerne schon im Vorfeld klären bzw. sehen, welche Systeme solch eine LDAP Verbindung eingetragen haben. vor 3 Minuten schrieb testperson: Hi, für die Zukunft könnte man auch einen Loadbalancer für solche LDAP Anfragen implentieren. Dann hast du immer nur eine IP / einen Namen und tauscht dahinter einfach die Server-Objekte aus. (Laut Microsoft ist das allerdings unsupported: https://social.technet.microsoft.com/wiki/contents/articles/33547.load-balancers-and-active-directory.aspx) Gruß Jan Wäre eine Überlegung... danke für den Tipp. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Das ist jetzt auch kein wirklich sachdienlicher Hinweis, aber nutze jetzt die Chance und dokumentiere das, was du wie auch immer jetzt aufspürst. Generell: Dokumentation. ;) Ebenfalls für die (nahe* not foreseeable) Zukunft: Wenn du alle LDAP-anfragenden System gefunden hast, prüfe, welche der Systeme unverschlüsseltes / -signiertes LDAP sprechen und konfiguriere auf secure LDAP / LDAPs um: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023 * Der Artikel wurde scheinbar erneut angepasst und aus der 2ten Jahreshälfte 2020 wurde die nicht absehbare Zukunft. 1 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 1 Stunde schrieb Buttercremus: Kenn nur die Möglichkeit Ereignisanzeige die einzelnen Ereignisse mit der ID 2886, 2887, 2888, 2889 herauszufiltern und zu analysieren. Die ist doch aber schon mal sehr schön. ;) Kannst natürlich auch das FIrewall-Log bemühen, wird dann aber auch nicht einfacher. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Moin, dann haben wir bislang nicht aneinander vorbeigeredet. Es scheint mir eher so, als würden dir die Antworten nicht passen - was verständlich ist, weil es eben leider nicht so einfach ist, wie du dir das denkst. In deinem Beispiel könntest du testen, ob du dort einfach den DNS-Namen der Domäne eintragen kannst und nicht den Namen oder die IP-Adresse eines DCs. Meist funktioniert das. Der DNS-Server gibt dann die Adresse eines der vorhandenen DCs zurück (vereinfacht gesagt nach Round Robin). Wenn dein AD also ordentlich gepflegt ist, machst du dich damit unabhängig von konkreten Servern. Wo und wie du die Applikationen findest, wirst du selbst herausfinden müssen. Ob das Eventlog oder die Firewall dabei wirklich helfen, wage ich zu bezweifeln. Am Ende bleibt es so, wie ich oben geschrieben habe: Diese Stellen sehen nur, dass eine Verbindung stattfindet. Was dahintersteckt, können sie nicht unterscheiden. Abschließend rate ich noch von dem Load-Balancer-Konstrukt entschieden ab. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 26 Minuten schrieb NilsK: Ob das Eventlog oder die Firewall dabei wirklich helfen, wage ich zu bezweifeln Warum? Über die anfragende IP sollte sich eine Zuordnung doch entsprechend eingrenzen lassen. Zitieren Link zu diesem Kommentar
Buttercremus 0 Geschrieben 22. April 2020 Autor Melden Teilen Geschrieben 22. April 2020 vor 1 Stunde schrieb NilsK: In deinem Beispiel könntest du testen, ob du dort einfach den DNS-Namen der Domäne eintragen kannst und nicht den Namen oder die IP-Adresse eines DCs. Meist funktioniert das. Der DNS-Server gibt dann die Adresse eines der vorhandenen DCs zurück (vereinfacht gesagt nach Round Robin). Wenn dein AD also ordentlich gepflegt ist, machst du dich damit unabhängig von konkreten Servern. das hatte ich noch nicht gedacht. Werde ich entsprechend ausprobieren. vor einer Stunde schrieb NorbertFe: Warum? Über die anfragende IP sollte sich eine Zuordnung doch entsprechend eingrenzen lassen. So hätte ich das auch gedacht. Sehe ja im Eventlog, welches System mit welcher IP-Adresse kommt. Ist halt wirklich sehr aufwendig. Aber dennoch danke für eure Tipps ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Moin, vor 1 Stunde schrieb NorbertFe: Warum? Über die anfragende IP sollte sich eine Zuordnung doch entsprechend eingrenzen lassen. damit sehe ich, dass ein bestimmter Computer anfragt. Ich habe aber keinen Hinweis, ob die Applikation dort "gut" konfiguriert ist oder "schlecht". Das muss ich auf dem System prüfen. Wenn das schon die gewünschte Erleichterung ist - prima. Mehr wird man aber nicht erreichen können. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Ja, das stimmt. :) Ich dachte es geht erstmal darum rauszufinden, welche Applikationen überhaupt Abfragen stellen. vor 54 Minuten schrieb Buttercremus: Ist halt wirklich sehr aufwendig Naja eigentlich ist es nur relativ viel Logging. ;) Das rotiert schneller, als man manchmal alle Systeme rausgefunden hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.