LDAPS Signing und Channelbinding

[Mscheller 0]

Hallo ich lese gerade viel über die Umstellung von LDAP zu LDAPs und das wohl Windows Server 2008 da wohl nicht mehr unterstützt werden.

 

Ist das jetzt wirklich so, und wenn dann MS umstellt keine Kommunikation mehr von den alten Server zum AD hergestellt werden kann?

 

Kann mich jemand dazu aufklären?

 

[NorbertFe 2.089]

vor 3 Minuten schrieb Mscheller:

Kann mich jemand dazu aufklären?

 

Keine Ahnung was du da liest. Wäre vielleicht gut, einfach die Quellen anzugeben, damit man weiß, wo du Aufklärung benötigst. Fakt ist, das AD konnte schon von Anfang an auch LDAPs. Ich vermute es geht dir um LDAP Signing und LDAP Channelbinding, aber wie gesagt, nur eine Vermutung.

 

Bye

Norbert

[Mscheller 0]

JA..LDAP Signing und LDAP Channelbinding, wird da 2008 Server noch untertützt?

[NorbertFe 2.089]

Ja werd nur nicht ausführlicher. :/

Ich hab dein Problem noch nicht verstanden. :) Ja Domain Controller mit 2008 haben dann vermutlich ein Problem. Nein Windows Clients haben kein Problem mit den DCs zu reden, die so abgesichert wurden. Und wenn du einfach mal die Links posten würdest, könnte man dir das sogar als Zitat zeigen.

[Mscheller 0]

Hallo, habe diese Anleitung gerade gefunden https://cusatum.de/ldaps-ist-nicht-ldap-signing-channel-binding/

 

Hier werden ja für die Clients und die DCs eine GPO erstellt, was ist mit den Member Servern, bekommen die, die gleiche GPO wie die Clients?

[NorbertFe 2.089]

vor 3 Minuten schrieb Mscheller:

Hallo, habe diese Anleitung gerade gefunden https://cusatum.de/ldaps-ist-nicht-ldap-signing-channel-binding/

Aha. Und da bleiben Fragen offen? :)

 

Was ist denn für dich der Unterschied zwischen Client und Memberservern?

[Mscheller 0]

"Keiner" - Danke! :-))))))

[testperson 1.728]

 Hi,

 

aus https://cusatum.de/ldaps-ist-nicht-ldap-signing-channel-binding/:

Zitat

Führen Sie die folgenden Schritte aus, um Clients so zu konfigurieren, dass diese eine LDAP Signing anfordern:

1. Öffnen Sie die Group Policy-Management-Konsole (gpmc.msc)
2. Erweitern Sie die Gesamtstruktur \ Domänen \ Aktuelle Domäne \ Gruppenrichtlinienobjekte
3. Erstellen Sie eine neue Gruppenrichtlinie und vergeben Sie einen aussagekräftigen Namen (z. B. Client LDAP Signing)
4. Erstellte Gruppenrichtlinie bearbeiten und wie folgt navigieren:
5. Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen
6. (Englisch: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options)
7. Bearbeiten Sie die Netzwerksicherheit: Signaturanforderungen für LDAP-Clients (Englisch: Network security: LDAP client signing requirements) und wählen Sie die Option Signatur aushandeln (Englisch: Negotiate Signing)
8. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der Domänenebene
9. Wiederholen Sie die Schritte 1 bis 6 für jede Domäne Ihres Forests

Befinden sich deine Member Server unterhalb der Domänenebene (und sind evtl. auch "nur" Clients (mit Server Betriebssystem))? ;)

 

Der verlinkte Artikel ist aber ebenfalls nicht (mehr) korrekt: https://msrc.microsoft.com/update-guide/de-de/vulnerability/ADV190023

Zitat

Important The March 10, 2020 and updates in the foreseeable future will not make changes to LDAP signing or LDAP channel binding policies or their registry equivalent on new or existing domain controllers.

 

Gruß

Jan

[Mscheller 0]

Jetzt bin ich total verwirrt!! Wir haben eine Domänenebene und darunter die Clients und Member Server!

 

Muss ich jetzt Anpassungen vornehmen die in meinem Link beschrieben sind oder nicht?

 

[testperson 1.728]

vor 19 Minuten schrieb Mscheller:

Muss ich jetzt Anpassungen vornehmen die in meinem Link beschrieben sind oder nicht?

Kommt drauf an. Ich gehe aber von "Nein" aus.

[NorbertFe 2.089]

vor 57 Minuten schrieb Mscheller:

Jetzt bin ich total verwirrt!!

Stimmt, du verwendest zuviele Satzendezeichen. ;)