tomtombon
Goto Top

Wireshark, woran erkenne Ich eine AD Anmeldung

Moin Moin,

Ich muss gestehen das Ich nicht sonderlich bewandert bin in Wireshark.
Ich habe mir den Mitschnitt durchgesehen, aber Ich finde es nicht. Deswegen hoff Ich auf sachdienliche Hinweise wie es so schön heißt face-wink

Zur Vorgeschichte:
Ein Kunde will eine Software die wir vertreiben ab jetzt über LDAPs anmelden.
Vor der Umstellung klappte alles, soweit so gut.

Jetzt bekommt er bei der Verbindung den Fehler:
"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"

Ok, Nach viellem hin und her über die Level bei uns und beim Kunden habe Ich den Zeitpunkt gehabt und die Eventlogs.
Bei 2 Versuchen habe Ich keinen Eintrag dazu gefunden das eine Verbindung versucht wurde und WARUM es abgelehnt wurde.
Selbst nur die Bestätigung DAS es so auftauchte benötige Ich um es an den Hersteller weiter zugeben.

Also um einen Wireshark gebeten.
Vom anfragenden Server.
Ich finde es jetzt auch nicht.

Klar, besteht die Möglichkeit das eine Schleife auf sich selbst zeigt.
Die Zieladresse sagen aber etwas anderes und eigentlich hätte Ich das auch im Eventlog finden müssen.
Ich glaube eher das die Anfrage für mich nicht auffindbar ist, nicht erkennbar.

Hat jemand einen Tipp wonach Ich schauen kann?
Ich weiß das Ich mich mehr mit Wireshark befassen müßte.
Wenn die Zeit dafür da ist..
Aber aus Problemen lernt man.
Und befasst sich mehr damit face-smile


Vielen Dank!
Thomas

Content-ID: 622974

Url: https://administrator.de/forum/wireshark-woran-erkenne-ich-eine-ad-anmeldung-622974.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

emeriks
Lösung emeriks 16.11.2020 um 12:14:34 Uhr
Goto Top
Hi,
Zitat von @TomTomBon:
Ein Kunde will eine Software die wir vertreiben ab jetzt über LDAPs anmelden.
Was heißt das genau? Welche Software? Wie sieht diese LDAP-Anbindung aus?

Jetzt bekommt er bei der Verbindung den Fehler:
"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"
LDAPS geht über einen anderen Port, standardmäßig 636. Du hast sichergestellt, dass die DC über diesen Port erreichbar sind?

Die Zertifikate dafür sind auch eingerichtet? Und der LDAP-Client vertraut diesen?

E.
TomTomBon
TomTomBon 16.11.2020 aktualisiert um 13:32:02 Uhr
Goto Top
Server 2012R2 nutzt der Kunde.
Der Aufbau geschieht durch den Wechsel auf SSL mit Port 636.
Die Vertrausensstellung über Zertifikate ist gegeben sagt der Kunde und sagt das die bei anderen Systemen identisch geklappt hat.
Die Kollegen vom 2nd Level, die das System betreuen sagen auch das sie das Problem so nicht kennen.

Natürlich habe Ich auch daran gedacht das das System des Kunden nicht korrekt ist.
Nur ohne etwas in der Hand zu haben auf das Ich mich beziehe dem Kunden den schwarzen Peter zuschieben ist schwierig.
Die Zeit die Ich benötigt habe werde Ich damit verargumentieren.
Aber nur weil Ich es nicht finde, und Ich vor allem nicht sagen kann DAS und das MUSS da stehen, ansonsten ist etwas vorher defekt..
Das reicht nicht das mein Chef hinter mir steht face-smile
NetzwerkDude
Lösung NetzwerkDude 16.11.2020 um 12:30:34 Uhr
Goto Top
Den Wireshark mitschnitt aufmachen, in den Filter
ldap
eingeben, fertig.

da man ldap aber auch verschlüsselt realisieren kann, kannst du auch nach ports filtern:
tcp.port eq 389 or  tcp.port eq 636

bitte beachte das das display filter sind, die du während / nach der aufnahme einträgst, nicht zu verwechseln mit capture filtern
https://wiki.wireshark.org/DisplayFilters
https://wiki.wireshark.org/CaptureFilters
NetzwerkDude
Lösung NetzwerkDude 16.11.2020 aktualisiert um 12:33:46 Uhr
Goto Top
Übrigens vorsicht mit der Formulierung "Wechsel auf SSL mit Port 636" - LDAPS kann man auch auf dem alten Port via STARTTSL realisieren + es gibt noch mehr gotchas: Man kann nicht einfach bestehende Anwendungen in TLS Verpacken und es tut, das MS LDAP erlaubt nur bestimmte kombinationen, siehe dazu diesen sehr guten Artikel:
https://www.heise.de/select/ct/2020/22/2023417143364470900
TomTomBon
TomTomBon 16.11.2020 um 13:29:14 Uhr
Goto Top
Vielen Dank.

Mathematisch würde Ich den Satz ausdrücken mit: (SSL mit Port 636) nicht durch den Port face-smile
Aber Ich habe eine Ahnung was du meinst.

Ich hoffe das der Kunden Admin nicht Capture filter genommen hat.
Aber bei 1min und 4000 Einträge hoffe Ich das er keinen Filter gesetzt hat.
Mit dem Filter habe Ich 15 Einträge die Ich mir erarbeiten muss face-smile

Einen Ansatz habe Ich jetzt .
Vielen Dank nochmal!

@emeriks
Auch dir vielen Dank
aqui
Lösung aqui 16.11.2020 um 14:33:44 Uhr
Goto Top
Ich muss gestehen das Ich nicht sonderlich bewandert bin in Wireshark.
Das kann man ja schnell ändern... face-wink
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
TomTomBon
TomTomBon 17.11.2020 um 08:50:36 Uhr
Goto Top
Danke für das Dokument!

Sieht gut aus, wobei einiges davon in Wireshark selbst erklärend ist.
Auf der anderen Seite zählt zu einer vernünftigen Doku auch Hintergrund face-smile