Wireshark, woran erkenne Ich eine AD Anmeldung
Moin Moin,
Ich muss gestehen das Ich nicht sonderlich bewandert bin in Wireshark.
Ich habe mir den Mitschnitt durchgesehen, aber Ich finde es nicht. Deswegen hoff Ich auf sachdienliche Hinweise wie es so schön heißt
Zur Vorgeschichte:
Ein Kunde will eine Software die wir vertreiben ab jetzt über LDAPs anmelden.
Vor der Umstellung klappte alles, soweit so gut.
Jetzt bekommt er bei der Verbindung den Fehler:
"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"
Ok, Nach viellem hin und her über die Level bei uns und beim Kunden habe Ich den Zeitpunkt gehabt und die Eventlogs.
Bei 2 Versuchen habe Ich keinen Eintrag dazu gefunden das eine Verbindung versucht wurde und WARUM es abgelehnt wurde.
Selbst nur die Bestätigung DAS es so auftauchte benötige Ich um es an den Hersteller weiter zugeben.
Also um einen Wireshark gebeten.
Vom anfragenden Server.
Ich finde es jetzt auch nicht.
Klar, besteht die Möglichkeit das eine Schleife auf sich selbst zeigt.
Die Zieladresse sagen aber etwas anderes und eigentlich hätte Ich das auch im Eventlog finden müssen.
Ich glaube eher das die Anfrage für mich nicht auffindbar ist, nicht erkennbar.
Hat jemand einen Tipp wonach Ich schauen kann?
Ich weiß das Ich mich mehr mit Wireshark befassen müßte.
Wenn die Zeit dafür da ist..
Aber aus Problemen lernt man.
Und befasst sich mehr damit
Vielen Dank!
Thomas
Ich muss gestehen das Ich nicht sonderlich bewandert bin in Wireshark.
Ich habe mir den Mitschnitt durchgesehen, aber Ich finde es nicht. Deswegen hoff Ich auf sachdienliche Hinweise wie es so schön heißt
Zur Vorgeschichte:
Ein Kunde will eine Software die wir vertreiben ab jetzt über LDAPs anmelden.
Vor der Umstellung klappte alles, soweit so gut.
Jetzt bekommt er bei der Verbindung den Fehler:
"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"
Ok, Nach viellem hin und her über die Level bei uns und beim Kunden habe Ich den Zeitpunkt gehabt und die Eventlogs.
Bei 2 Versuchen habe Ich keinen Eintrag dazu gefunden das eine Verbindung versucht wurde und WARUM es abgelehnt wurde.
Selbst nur die Bestätigung DAS es so auftauchte benötige Ich um es an den Hersteller weiter zugeben.
Also um einen Wireshark gebeten.
Vom anfragenden Server.
Ich finde es jetzt auch nicht.
Klar, besteht die Möglichkeit das eine Schleife auf sich selbst zeigt.
Die Zieladresse sagen aber etwas anderes und eigentlich hätte Ich das auch im Eventlog finden müssen.
Ich glaube eher das die Anfrage für mich nicht auffindbar ist, nicht erkennbar.
Hat jemand einen Tipp wonach Ich schauen kann?
Ich weiß das Ich mich mehr mit Wireshark befassen müßte.
Wenn die Zeit dafür da ist..
Aber aus Problemen lernt man.
Und befasst sich mehr damit
Vielen Dank!
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 622974
Url: https://administrator.de/forum/wireshark-woran-erkenne-ich-eine-ad-anmeldung-622974.html
Ausgedruckt am: 26.12.2024 um 23:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
Was heißt das genau? Welche Software? Wie sieht diese LDAP-Anbindung aus?
Die Zertifikate dafür sind auch eingerichtet? Und der LDAP-Client vertraut diesen?
E.
Was heißt das genau? Welche Software? Wie sieht diese LDAP-Anbindung aus?
Jetzt bekommt er bei der Verbindung den Fehler:
"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"
LDAPS geht über einen anderen Port, standardmäßig 636. Du hast sichergestellt, dass die DC über diesen Port erreichbar sind?"LDAP Fehler: Verbindung zum LDAP Server nicht möglich"
Die Zertifikate dafür sind auch eingerichtet? Und der LDAP-Client vertraut diesen?
E.
Den Wireshark mitschnitt aufmachen, in den Filter
eingeben, fertig.
da man ldap aber auch verschlüsselt realisieren kann, kannst du auch nach ports filtern:
bitte beachte das das display filter sind, die du während / nach der aufnahme einträgst, nicht zu verwechseln mit capture filtern
https://wiki.wireshark.org/DisplayFilters
https://wiki.wireshark.org/CaptureFilters
ldap
da man ldap aber auch verschlüsselt realisieren kann, kannst du auch nach ports filtern:
tcp.port eq 389 or tcp.port eq 636
bitte beachte das das display filter sind, die du während / nach der aufnahme einträgst, nicht zu verwechseln mit capture filtern
https://wiki.wireshark.org/DisplayFilters
https://wiki.wireshark.org/CaptureFilters
Übrigens vorsicht mit der Formulierung "Wechsel auf SSL mit Port 636" - LDAPS kann man auch auf dem alten Port via STARTTSL realisieren + es gibt noch mehr gotchas: Man kann nicht einfach bestehende Anwendungen in TLS Verpacken und es tut, das MS LDAP erlaubt nur bestimmte kombinationen, siehe dazu diesen sehr guten Artikel:
https://www.heise.de/select/ct/2020/22/2023417143364470900
https://www.heise.de/select/ct/2020/22/2023417143364470900
Ich muss gestehen das Ich nicht sonderlich bewandert bin in Wireshark.
Das kann man ja schnell ändern... https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html