Active Directory LDAP Sign-Seal einrichten - wie am besten?
Hallo Admins, wie allseits bekannt stellt ja Microsoft bald den betrieb von unverschlüsselten LDAP verbindungen ein und es wird dann wohl nur noch LDAPS gehen wenn ich das richtig gelesen habe.
Jetzt hab ich hier ein Server 2012R2 welcher die AD Dienste bereit stellt, dieser scheint schon über SSL ansprechbar zu sein, da ich zumindest mit ldp.exe eine SSL verbindung aufbauen kann. Auch die Windows10 Clients verbinden sich verschlüsselt mit LDAP, da es zumindest von den WIndows Clients kein Ereignis-eintrag auf dem AD Server mit der ID 2887 erscheinen (https://www.heise.de/newsticker/meldung/Microsoft-stellt-Domaincontrolle ..)
aber ein paar Kopierer oder auch die Firewall verbindet sich noch über plain LDAP. Da hat man die möglichkeit SSL zu aktivieren, aber anscheinend brauchen die dann ein Zertifikat um sich über SSL Seal/Sign mit dem AD zu verbinden - und genau an der stelle scheitere ich...Welches Zertifikat wird benötigt? Ich hab zwar schon auf einem anderen Server im Netz eine Windows Zertifizierungsstelle eingerichtet, aber damit ist dieser Server ja mit seinem namen als CA im Root Zertifikat eingetragen - nicht der AD Sever.
Wie geht es da weiter, damit ich die Firewall und die Kopierer überredet bekomme, sich über LDAPS zu verbinden? Woher bekomme ich das Zertifikat, bzw. wie solllte ich dies erstellen?
Jetzt hab ich hier ein Server 2012R2 welcher die AD Dienste bereit stellt, dieser scheint schon über SSL ansprechbar zu sein, da ich zumindest mit ldp.exe eine SSL verbindung aufbauen kann. Auch die Windows10 Clients verbinden sich verschlüsselt mit LDAP, da es zumindest von den WIndows Clients kein Ereignis-eintrag auf dem AD Server mit der ID 2887 erscheinen (https://www.heise.de/newsticker/meldung/Microsoft-stellt-Domaincontrolle ..)
aber ein paar Kopierer oder auch die Firewall verbindet sich noch über plain LDAP. Da hat man die möglichkeit SSL zu aktivieren, aber anscheinend brauchen die dann ein Zertifikat um sich über SSL Seal/Sign mit dem AD zu verbinden - und genau an der stelle scheitere ich...Welches Zertifikat wird benötigt? Ich hab zwar schon auf einem anderen Server im Netz eine Windows Zertifizierungsstelle eingerichtet, aber damit ist dieser Server ja mit seinem namen als CA im Root Zertifikat eingetragen - nicht der AD Sever.
Wie geht es da weiter, damit ich die Firewall und die Kopierer überredet bekomme, sich über LDAPS zu verbinden? Woher bekomme ich das Zertifikat, bzw. wie solllte ich dies erstellen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 560776
Url: https://administrator.de/forum/active-directory-ldap-sign-seal-einrichten-wie-am-besten-560776.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Es wird der Standard von LDAP auf LDAPS geändert. Und das nur für Clients, welche das können.
bzgl. Zertifikat vermute ich, dass dem Geräte dann das Root-Zertifikat Eurer CA installiert werden müsste, damit es dem Zertifikat des DC's vertrauen kann.
E.
Zitat von @Assassin:
Hallo Admins, wie allseits bekannt stellt ja Microsoft bald den betrieb von unverschlüsselten LDAP verbindungen ein und es wird dann wohl nur noch LDAPS gehen wenn ich das richtig gelesen habe.
Hast Du offenbar nicht.Hallo Admins, wie allseits bekannt stellt ja Microsoft bald den betrieb von unverschlüsselten LDAP verbindungen ein und es wird dann wohl nur noch LDAPS gehen wenn ich das richtig gelesen habe.
Es wird der Standard von LDAP auf LDAPS geändert. Und das nur für Clients, welche das können.
Jetzt hab ich hier ein Server 2012R2 welcher die AD Dienste bereit stellt, dieser scheint schon über SSL ansprechbar zu sein, da ich zumindest mit ldp.exe eine SSL verbindung aufbauen kann. Auch die Windows10 Clients verbinden sich verschlüsselt mit LDAP, da es zumindest von den WIndows Clients kein Ereignis-eintrag auf dem AD Server mit der ID 2887 erscheinen (https://www.heise.de/newsticker/meldung/Microsoft-stellt-Domaincontrolle ..)
Nennen wir Ihn doch "einen Domaincontroller". aber ein paar Kopierer oder auch die Firewall verbindet sich noch über plain LDAP. Da hat man die möglichkeit SSL zu aktivieren, aber anscheinend brauchen die dann ein Zertifikat um sich über SSL Seal/Sign mit dem AD zu verbinden - und genau an der stelle scheitere ich...Welches Zertifikat wird benötigt? Ich hab zwar schon auf einem anderen Server im Netz eine Windows Zertifizierungsstelle eingerichtet, aber damit ist dieser Server ja mit seinem namen als CA im Root Zertifikat eingetragen - nicht der AD Sever.
Wie geht es da weiter, damit ich die Firewall und die Kopierer überredet bekomme, sich über LDAPS zu verbinden? Woher bekomme ich das Zertifikat, bzw. wie solllte ich dies erstellen?
Wie oben geschrieben wird LDAP jetzt nicht komplett deaktiviert.Wie geht es da weiter, damit ich die Firewall und die Kopierer überredet bekomme, sich über LDAPS zu verbinden? Woher bekomme ich das Zertifikat, bzw. wie solllte ich dies erstellen?
bzgl. Zertifikat vermute ich, dass dem Geräte dann das Root-Zertifikat Eurer CA installiert werden müsste, damit es dem Zertifikat des DC's vertrauen kann.
E.
Zitat von @Assassin:
Sollte aber mit dem Update die LDAP verbindung nicht mehr möglich sein? Man kann es zwar wieder aktivieren bzw. so einstellen dass es weiterhin möglich ist über LDAP sich zu verbinden, aber mit dem Update soll es doch so werden dass sich erstmal nur noch über LDAPS verbunden werden kann, oder?
Nicht so, wie ich das verstanden habe.Sollte aber mit dem Update die LDAP verbindung nicht mehr möglich sein? Man kann es zwar wieder aktivieren bzw. so einstellen dass es weiterhin möglich ist über LDAP sich zu verbinden, aber mit dem Update soll es doch so werden dass sich erstmal nur noch über LDAPS verbunden werden kann, oder?
Wenn LDAP ohne SSL einfach so deaktiviert werden würde, dann würde Microsoft den kompletten Crash von tausende Systemen auf der Welt riskieren, weil man nicht davon ausgehen kann, dass jeder kleine Admin das beachtet. Sehr unwahrscheinlich.
Außerdem steht es im betreffenden Artikel von Microsoft so drin. (Habe jetzt keine Quelle zur Hand, bin mir aber sehr sicher, weil ich hier dafür verantwortlich bin und mich da schon belesen habe.)
Und wegen dem Root CA - macht das nix, dass dieses einen anderen Namen hat als der AD Server?
Nein. Es wird ja nicht für die Verschlüsselung der Verbindung benötigt sondern nur für die Bewertung der Vertrauenswürdigkeit des Zertifikats des DCs.