AD LDAP Problem mit UPN Suffix und Referrals
Hallo,
ich versuche verzweifelt mit einer SonicWall die Gruppen aus dem LDAP zu ziehen.
Die User haben die Mailadresse als UPN.
Was funktioniert:
UPN mit FQDN der Domain sub.domain.tld
UPN mit der Domain domain.tld aber nur via Global Catalog
Was funktioniert nicht:
UPN mit der Domain xyz.tld als Alternative UPN Suffix
Das Problem, sobald die LDAP Anfrage mit einem Referral beantwortet wird kommt die SonicWall nicht weiter. Genau das passiert bei einer beliebigen Domain als alt. UPN Suffix. Klar, er findet diese nicht im DNS. Ich habe schon versucht einen A Record auf den DC zu setzen - ohne Erfolg.
Habt ihr mir eine Idee? Warum antwortet der Global Catalog hier nicht ohne Referral, wie er es im Falle der Hauptdomain auch tut?
Angeblich kann die SonicWall Referrals, nur wie muss ich hier den DNS bzw. das AD konfigurieren?
VG nl
ich versuche verzweifelt mit einer SonicWall die Gruppen aus dem LDAP zu ziehen.
Die User haben die Mailadresse als UPN.
Was funktioniert:
UPN mit FQDN der Domain sub.domain.tld
UPN mit der Domain domain.tld aber nur via Global Catalog
Was funktioniert nicht:
UPN mit der Domain xyz.tld als Alternative UPN Suffix
Das Problem, sobald die LDAP Anfrage mit einem Referral beantwortet wird kommt die SonicWall nicht weiter. Genau das passiert bei einer beliebigen Domain als alt. UPN Suffix. Klar, er findet diese nicht im DNS. Ich habe schon versucht einen A Record auf den DC zu setzen - ohne Erfolg.
Habt ihr mir eine Idee? Warum antwortet der Global Catalog hier nicht ohne Referral, wie er es im Falle der Hauptdomain auch tut?
Angeblich kann die SonicWall Referrals, nur wie muss ich hier den DNS bzw. das AD konfigurieren?
VG nl
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 493204
Url: https://administrator.de/forum/ad-ldap-problem-mit-upn-suffix-und-referrals-493204.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
was ist Dein Problem?
Ich lese heraus, Du hast ein AD Forest mit mehreren Domains?
Und die FQDN der AD-Domänen sind ungleich dem FQDN der Mail-Domäne?
Ich kenne jetzt die SonicWall nicht. Aber ich weiß, dass viele Linux-Büchsen bei einem AD-Abgleich via LDAP immer mal wieder Probleme haben, wenn da mehrere Domänen im Spiel sind, besonders dann, wenn die nicht alle im selben Namespace sind (mehrere Tree in einem Forest). Das kommt jetzt darauf an, was alles synchronisiert werden soll. Wenn es nur Attribute sind, welche im Globalen Katalog enthalten sind, dann mit dem GC abgleichen. Wenn da aber auch Attribute bei sind, welche nicht im GC enthalten sind, dann
E.
Edit: Und wenn da mehrere Domänen im Spiel sind, dann muss die SonicWall auch über alle entsprechenden Domaincontroller abfragen können. (erreichen, Firewall)
was ist Dein Problem?
Ich lese heraus, Du hast ein AD Forest mit mehreren Domains?
Und die FQDN der AD-Domänen sind ungleich dem FQDN der Mail-Domäne?
Ich kenne jetzt die SonicWall nicht. Aber ich weiß, dass viele Linux-Büchsen bei einem AD-Abgleich via LDAP immer mal wieder Probleme haben, wenn da mehrere Domänen im Spiel sind, besonders dann, wenn die nicht alle im selben Namespace sind (mehrere Tree in einem Forest). Das kommt jetzt darauf an, was alles synchronisiert werden soll. Wenn es nur Attribute sind, welche im Globalen Katalog enthalten sind, dann mit dem GC abgleichen. Wenn da aber auch Attribute bei sind, welche nicht im GC enthalten sind, dann
- entweder im Schema aktivieren, dass diese Attribute auch im GC gespeichert werden, oder
- jede einzelne Domäne (nicht GC!) synchronisieren und dabei je einen DC aus der betreffenden Domäne verwenden.
E.
Edit: Und wenn da mehrere Domänen im Spiel sind, dann muss die SonicWall auch über alle entsprechenden Domaincontroller abfragen können. (erreichen, Firewall)
Zitat von @nixlos:
Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Wenn das so ist, dann nein. Wobei ich mir das aber nur sehr schwer vorstellen kann.Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Was heißt "als Basis verwendet"? Macht er auch dem "domain.de" dann ein "dc=domain,dc=de"?
Oder meinst Du etwa, dass er dann die Abfrage an "domain.de" sendet?
Jetzt hast Du das Gleiche noch einmal geschrieben. Gleich viel klarer ....