4
LDAP-Verbindung Fehler 3079
Moin Leute,
meine DCs melden aktuell regelmäßig folgende Meldung im Log:
Das Verzeichnis hat den Zugriff auf mindestens ein vertrauliches Attribut für mindestens eine LDAP-Suchanforderung blockiert, da mindestens ein Client eine unverschlüsselte LDAP-Verbindung verwendet hat.(Code 3079)
Was soll mir das sagen
meine DCs melden aktuell regelmäßig folgende Meldung im Log:
Das Verzeichnis hat den Zugriff auf mindestens ein vertrauliches Attribut für mindestens eine LDAP-Suchanforderung blockiert, da mindestens ein Client eine unverschlüsselte LDAP-Verbindung verwendet hat.(Code 3079)
Was soll mir das sagen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670053
Url: https://administrator.de/forum/ldap-verbindung-fehler-3079-670053.html
Ausgedruckt am: 10.01.2025 um 15:01 Uhr
4 Kommentare
Neuester Kommentar
So wie es da steht. Jemand/Etwas versucht ein vertrauliches Attribut (Passwordhash, Telefonnummer, etc) abzurufen und verwendet dafür eine unverschüsselte Verbindung. Deshalb sagt der DC schlicht "Nö".
Die Frage ist eher wer das versucht und welche Daten er versucht abzurufen.
Das sollte auch irgendwo bei diesem Eintrag oder in der Nähe stehen.
Stefan
2
Mahlzeit.
Gibt es eine interne Zertifizierungsstelle? Wurde LDAPS implementiert?
Steht in der Meldung in der Ereignisanzeige die Quelle?
Ansonsten mal einen Netzwerkmitschnitt am DC abgreifen und schauen, welcher pöse Pube da korrelierend mit den Ereignissen versucht sich anzumelden.
Einen Graylog Server aufzusetzen und den DC dort mittels GELF anzubinden, wäre auch nicht so verkehrt.
Tom Lawrence hat hier ein paar super Videos zu auf seinem Kanal.
Gibt es vielleicht einen alten PC oder älteres Tablet, welches RDP Verbindungen versucht aufzubauen?
Gruß
Marc
Gibt es eine interne Zertifizierungsstelle? Wurde LDAPS implementiert?
Steht in der Meldung in der Ereignisanzeige die Quelle?
Ansonsten mal einen Netzwerkmitschnitt am DC abgreifen und schauen, welcher pöse Pube da korrelierend mit den Ereignissen versucht sich anzumelden.
Einen Graylog Server aufzusetzen und den DC dort mittels GELF anzubinden, wäre auch nicht so verkehrt.
Tom Lawrence hat hier ein paar super Videos zu auf seinem Kanal.
Gibt es vielleicht einen alten PC oder älteres Tablet, welches RDP Verbindungen versucht aufzubauen?
Gruß
Marc
Moin
Ja es gibt eine interne Zertifikatsstelle. Die habe ich auch erst frusch aufgesetzt. Was kann es den damit zu tun haben? Die gibt dc certs+Kerberos aus und computer zertifikate. Also überschaubar.
Und was genau meinst du mit deinem letzten Punkt?
Ja es gibt eine interne Zertifikatsstelle. Die habe ich auch erst frusch aufgesetzt. Was kann es den damit zu tun haben? Die gibt dc certs+Kerberos aus und computer zertifikate. Also überschaubar.
Und was genau meinst du mit deinem letzten Punkt?
Wenn Du einen RDS hast und dazu noch einen Windows 7 PC der sich per RDP verbindet würde dies auch so eine Meldung provozieren. Vermutlich auch ein Windows 10 PC ohne Updates mit SMB1.
Von der Seite, was kann das aus auslösen, ist es viel Gesuche. Besser wäre ein anderer Eintrag im Eventlog der Dir einen Hinweis gibt.
Stefan
