3
Fragen zu LDAPS - Aktivierung schlägt fehl
Hallo,
ich habe ein Thema mit dem ich mir schon eine ganze Weile den Kopf zermürbe.
Ich möchte LDAPS (SSL) zwischen 2 Domänen aktivieren. In meiner Umgebung laufen 2 DC's mit Server 2008 R2.
Auf die andere Umgebung habe ich keinen administrativen Zugriff.
Zig Howtows habe ich dazu gelesen. Immer wieder lese ich, das man eine CA benötigt bzw. AD LDS installieren solle.
Die CA und meine DC's stehen nicht in der selben Domäne. Es existiert auch keine Vertrauensstellung zwischen den beiden Domänen. Kann so auch nicht realisiert werden, da ich nur in meiner Umgebung "schalten und walten kann".
DNS seitig kann alles in beide Richtungen aufgelöst werden.
Das Serverzertifikat wurde von der anderen Domäne ausgestellt und dieses habe ich mittels MMC ZertifikatSnapIn bei mir in "Certificates (local Computer) > Personal > Certificates" importiert.
Wenn ich mir das Zertifikat anschaue ist es auch valide. (You have a personal key that corresponds to this certificate + This certificate is OK.)
Es steht auch der Verwendungszweck da:
- Server Authentication (1.3.6.1.5.5.7.3.1)
- Client Authentication (1.3.6.1.5.5.7.3.2)
Das Rootzertifikat der CA ist in Trusted Root Certification Authorities > Certificates
Nun die Fragen:
Benötige ich nu immernoch eine eigene CA? Wenn ja, warum? Ich habe doch ein Zertifikat und eine Zertifizierungsstelle der ich vertraue.
Kann ich überhaupt ein Zertifikat deranderen Domäne nutzen, welches nicht den CN der eigenen Domäne beinhaltet? Es stehen nur DNS Namen und IP Adresse der anderen Domäne im Zertifikat. Er kann es selber aber auch auflösen. Sollte also nicht das Problem sein.
Der SSL Zugriff kommt dann auch nur aus der anderen Domäne.
Wenn ich mit LDP.exe die Verbindung testen will, komme ich nicht auf meinen DC. Ohne SSL funktioniert es aber.
Mit netstat -a sehe ich aber auch, das mein DC auf die Ports lauscht.
*
ld = ldap_sslinit("servername01.domain.local", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to servername01.domain.local.
Im Eventlog auf dem Server taucht immer eine Meldung auf:
"No suitable default server credential exists on this system." Dazu finde ich aber im Web nix brauchbares. Ausser das angeblich das Serverzertifikat nicht gefunden wird.
In meinem Clientlog taucht nichts dazu auf.
Danke im Vorraus für hilfreiche Tipps.
Irgendwas habe ich übersehen oder missverstanden.
ich habe ein Thema mit dem ich mir schon eine ganze Weile den Kopf zermürbe.
Ich möchte LDAPS (SSL) zwischen 2 Domänen aktivieren. In meiner Umgebung laufen 2 DC's mit Server 2008 R2.
Auf die andere Umgebung habe ich keinen administrativen Zugriff.
Zig Howtows habe ich dazu gelesen. Immer wieder lese ich, das man eine CA benötigt bzw. AD LDS installieren solle.
Die CA und meine DC's stehen nicht in der selben Domäne. Es existiert auch keine Vertrauensstellung zwischen den beiden Domänen. Kann so auch nicht realisiert werden, da ich nur in meiner Umgebung "schalten und walten kann".
DNS seitig kann alles in beide Richtungen aufgelöst werden.
Das Serverzertifikat wurde von der anderen Domäne ausgestellt und dieses habe ich mittels MMC ZertifikatSnapIn bei mir in "Certificates (local Computer) > Personal > Certificates" importiert.
Wenn ich mir das Zertifikat anschaue ist es auch valide. (You have a personal key that corresponds to this certificate + This certificate is OK.)
Es steht auch der Verwendungszweck da:
- Server Authentication (1.3.6.1.5.5.7.3.1)
- Client Authentication (1.3.6.1.5.5.7.3.2)
Das Rootzertifikat der CA ist in Trusted Root Certification Authorities > Certificates
Nun die Fragen:
Benötige ich nu immernoch eine eigene CA? Wenn ja, warum? Ich habe doch ein Zertifikat und eine Zertifizierungsstelle der ich vertraue.
Kann ich überhaupt ein Zertifikat deranderen Domäne nutzen, welches nicht den CN der eigenen Domäne beinhaltet? Es stehen nur DNS Namen und IP Adresse der anderen Domäne im Zertifikat. Er kann es selber aber auch auflösen. Sollte also nicht das Problem sein.
Der SSL Zugriff kommt dann auch nur aus der anderen Domäne.
Wenn ich mit LDP.exe die Verbindung testen will, komme ich nicht auf meinen DC. Ohne SSL funktioniert es aber.
Mit netstat -a sehe ich aber auch, das mein DC auf die Ports lauscht.
*
ld = ldap_sslinit("servername01.domain.local", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to servername01.domain.local.
Im Eventlog auf dem Server taucht immer eine Meldung auf:
"No suitable default server credential exists on this system." Dazu finde ich aber im Web nix brauchbares. Ausser das angeblich das Serverzertifikat nicht gefunden wird.
In meinem Clientlog taucht nichts dazu auf.
Danke im Vorraus für hilfreiche Tipps.
Irgendwas habe ich übersehen oder missverstanden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 211530
Url: https://administrator.de/contentid/211530
Printed on: April 24, 2024 at 08:04 o'clock
3 Comments
Latest comment
Hi deeboo,
dein Vorgehen wird bei Windows Server 2008(R2) nicht mehr funktionieren. Das Zertifikat muss im Active Directory Domain Service (AD DS) Speicher liegen.
Dazu rufe di MMC-Konsole auf. Snapin hinzufügen -> Zertifiaktsspeicher -> Dienstkonto, lokaler Computer. Danach den Dienst "Active Directory Domain Service auswählen und "Fertig stellen" anklicken. Danach unter Konsolenstamm -> Zertfikate -> NTDS\Personal öffnen und dort hinein das Zertifikat importieren.
Ansonsten im Microsoft Technet zulesen.
Grüße,
Dani
dein Vorgehen wird bei Windows Server 2008(R2) nicht mehr funktionieren. Das Zertifikat muss im Active Directory Domain Service (AD DS) Speicher liegen.
Dazu rufe di MMC-Konsole auf. Snapin hinzufügen -> Zertifiaktsspeicher -> Dienstkonto, lokaler Computer. Danach den Dienst "Active Directory Domain Service auswählen und "Fertig stellen" anklicken. Danach unter Konsolenstamm -> Zertfikate -> NTDS\Personal öffnen und dort hinein das Zertifikat importieren.
Ansonsten im Microsoft Technet zulesen.
Grüße,
Dani
1
Danke Dani.
Standest Du auch mal vorm selben Problem oder warum konntest Du mir so schnell die Lösung nennen?
Ich errinnere mich waage, auch über diesen Lösungsansatz gestolpert zu sein. Jedoch hatte ich dieser nicht die nötige Beachtung geschenkt.
Jedenfalls klappte es wunderbar. top
Liebe Grüße
Daniel
Standest Du auch mal vorm selben Problem oder warum konntest Du mir so schnell die Lösung nennen?
Ich errinnere mich waage, auch über diesen Lösungsansatz gestolpert zu sein. Jedoch hatte ich dieser nicht die nötige Beachtung geschenkt.
Jedenfalls klappte es wunderbar. top
Liebe Grüße
Daniel
Hallo Daniel,
wir haben uns damit schon beschäftigt als wir die Domänencontroller auf 2008R2 hochgezogen haben. Aber uns Dokusystem vergisst nichts und üer Schlagworte finden wir vieles wieder.
Grüße,
Dani
wir haben uns damit schon beschäftigt als wir die Domänencontroller auf 2008R2 hochgezogen haben.
Aber uns Dokusystem vergisst nichts und üer Schlagworte finden wir vieles wieder. Grüße,
Dani
1
