8
AD LDAP Problem mit UPN Suffix und Referrals
Hallo,
ich versuche verzweifelt mit einer SonicWall die Gruppen aus dem LDAP zu ziehen.
Die User haben die Mailadresse als UPN.
Was funktioniert:
UPN mit FQDN der Domain sub.domain.tld
UPN mit der Domain domain.tld aber nur via Global Catalog
Was funktioniert nicht:
UPN mit der Domain xyz.tld als Alternative UPN Suffix
Das Problem, sobald die LDAP Anfrage mit einem Referral beantwortet wird kommt die SonicWall nicht weiter. Genau das passiert bei einer beliebigen Domain als alt. UPN Suffix. Klar, er findet diese nicht im DNS. Ich habe schon versucht einen A Record auf den DC zu setzen - ohne Erfolg.
Habt ihr mir eine Idee? Warum antwortet der Global Catalog hier nicht ohne Referral, wie er es im Falle der Hauptdomain auch tut?
Angeblich kann die SonicWall Referrals, nur wie muss ich hier den DNS bzw. das AD konfigurieren?
VG nl
ich versuche verzweifelt mit einer SonicWall die Gruppen aus dem LDAP zu ziehen.
Die User haben die Mailadresse als UPN.
Was funktioniert:
UPN mit FQDN der Domain sub.domain.tld
UPN mit der Domain domain.tld aber nur via Global Catalog
Was funktioniert nicht:
UPN mit der Domain xyz.tld als Alternative UPN Suffix
Das Problem, sobald die LDAP Anfrage mit einem Referral beantwortet wird kommt die SonicWall nicht weiter. Genau das passiert bei einer beliebigen Domain als alt. UPN Suffix. Klar, er findet diese nicht im DNS. Ich habe schon versucht einen A Record auf den DC zu setzen - ohne Erfolg.
Habt ihr mir eine Idee? Warum antwortet der Global Catalog hier nicht ohne Referral, wie er es im Falle der Hauptdomain auch tut?
Angeblich kann die SonicWall Referrals, nur wie muss ich hier den DNS bzw. das AD konfigurieren?
VG nl
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 493204
Url: https://administrator.de/contentid/493204
Ausgedruckt am: 16.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
was ist Dein Problem?
Ich lese heraus, Du hast ein AD Forest mit mehreren Domains?
Und die FQDN der AD-Domänen sind ungleich dem FQDN der Mail-Domäne?
Ich kenne jetzt die SonicWall nicht. Aber ich weiß, dass viele Linux-Büchsen bei einem AD-Abgleich via LDAP immer mal wieder Probleme haben, wenn da mehrere Domänen im Spiel sind, besonders dann, wenn die nicht alle im selben Namespace sind (mehrere Tree in einem Forest). Das kommt jetzt darauf an, was alles synchronisiert werden soll. Wenn es nur Attribute sind, welche im Globalen Katalog enthalten sind, dann mit dem GC abgleichen. Wenn da aber auch Attribute bei sind, welche nicht im GC enthalten sind, dann
E.
Edit: Und wenn da mehrere Domänen im Spiel sind, dann muss die SonicWall auch über alle entsprechenden Domaincontroller abfragen können. (erreichen, Firewall)
was ist Dein Problem?
Ich lese heraus, Du hast ein AD Forest mit mehreren Domains?
Und die FQDN der AD-Domänen sind ungleich dem FQDN der Mail-Domäne?
Ich kenne jetzt die SonicWall nicht. Aber ich weiß, dass viele Linux-Büchsen bei einem AD-Abgleich via LDAP immer mal wieder Probleme haben, wenn da mehrere Domänen im Spiel sind, besonders dann, wenn die nicht alle im selben Namespace sind (mehrere Tree in einem Forest). Das kommt jetzt darauf an, was alles synchronisiert werden soll. Wenn es nur Attribute sind, welche im Globalen Katalog enthalten sind, dann mit dem GC abgleichen. Wenn da aber auch Attribute bei sind, welche nicht im GC enthalten sind, dann
- entweder im Schema aktivieren, dass diese Attribute auch im GC gespeichert werden, oder
- jede einzelne Domäne (nicht GC!) synchronisieren und dabei je einen DC aus der betreffenden Domäne verwenden.
E.
Edit: Und wenn da mehrere Domänen im Spiel sind, dann muss die SonicWall auch über alle entsprechenden Domaincontroller abfragen können. (erreichen, Firewall)
Hallo emeriks,
ich habe eine Domain im Forest, diese hat einen zusätzlichen alternativen UPN Suffix. das kommt daher dass die Maildomain nicht der AD Domain entspricht, die User sich trotzdem mit der Mailadresse anmelden können.
Problem ist das der GC beim Abfragen der Usergruppen mittels UPN via LDAP(mit der Maildomain) einen Referral zurückgibt anstatt die Attribute des Users. Diesen Referral kann der DNS nicht auflösen und somit läuft alles ins leere.
Kann ich dem GC beibringen das er mir die Attribute zurückgibt? Alternativ, muss ich im DNS was tun?
VG nixlos
ich habe eine Domain im Forest, diese hat einen zusätzlichen alternativen UPN Suffix. das kommt daher dass die Maildomain nicht der AD Domain entspricht, die User sich trotzdem mit der Mailadresse anmelden können.
Problem ist das der GC beim Abfragen der Usergruppen mittels UPN via LDAP(mit der Maildomain) einen Referral zurückgibt anstatt die Attribute des Users. Diesen Referral kann der DNS nicht auflösen und somit läuft alles ins leere.
Kann ich dem GC beibringen das er mir die Attribute zurückgibt? Alternativ, muss ich im DNS was tun?
VG nixlos
Die Gruppenmitgliedschaft eines Benutzers ist nicht im GC gespeichert. Wenn Du nur eine Domäne hast, dann kannst Du doch direkt diese Abfragen und nicht den GC.
habe beides getestet selbes Ergebnis bzw. Problem.
Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Zitat von @nixlos:
Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Wenn das so ist, dann nein. Wobei ich mir das aber nur sehr schwer vorstellen kann.Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht
Am DC kann ich hier vermutlich wenig tun, oder?
Was heißt "als Basis verwendet"? Macht er auch dem "domain.de" dann ein "dc=domain,dc=de"?
Oder meinst Du etwa, dass er dann die Abfrage an "domain.de" sendet?
Oh, entschuldige, das war ungeschickt ausgedrückt.
Die SonicWall verwendet die Domain des UPN als Base für die LDAP Abfrage. Das geht bei einem UPN Suffix schief.
Mal schauen ob der Support hier helfen kann.
Die SonicWall verwendet die Domain des UPN als Base für die LDAP Abfrage. Das geht bei einem UPN Suffix schief.
Mal schauen ob der Support hier helfen kann.
Jetzt hast Du das Gleiche noch einmal geschrieben. Gleich viel klarer ....
Das Problem ist das aufgrund der Domain im UPN die SonicWall einen LDAP Query auf eine nicht vorhande Domain macht.
Nach langem hin und her, ist wohl ein Bug in der Software. Man arbeitet wohl dran...
Nach langem hin und her, ist wohl ein Bug in der Software. Man arbeitet wohl dran...
