ComputerBase Menü
Aktuelles

Active Directory SSL im Kompatibilitätsmodus

pscriptos

pscriptos

Cadet 4th Year
Registriert
Aug. 2013
Beiträge
79
Hallo zusammen,

Ich hoffe, der Beitrag hier ist richtig. Es geht eigentlich um einen Windows Server 2016.

Ich habe einen Windows Server 2016, der zu einem DC hochgestuft wurde.
Mein LDAP ist per Port 389 erreichbar.

1663627442940.png


Nun habe ich ein Tool hier liegen, welches ich gerne mit LDAP nutzen möchte. Dieses Tool setzt LDAPS voraus.
Aktuell habe ich aber einige Anwendungen, welche mit meinem LDAP verbunden sind.

Meine Frage nun:
Habe ich die Möglichkeit auf LDAPS umzustellen um dann trotz allem noch die normale LDAP Connection der Applikationen nutzen zu können? In einem sogenannten Kompatibilitätsmodus?
Damit hätte ich noch ein wenig Zeit um meine Anwendungen umzustellen. Vielleicht gibt es aber auch noch eine etwas ältere Anwendung, welche eben noch kein LDAPS kann. Dann wäre die Option hier wirklich essentiell.

Ich habe dazu in der Suche leider nichts gefunden und bin aktuell sehr vorsichtig, weil in der Domäne eben schon viele Anpassungen drin sind (in Form von GPOs)

Vielen Dank und eine gute Nacht allen! :)
 
Wow das ist einiges. :D
Das ist nichts, was ich heute Nacht noch anreißen werde. Das werde ich vll morgen Abend mal machen.
Danke für die schnelle Rückmeldung.

Ich bin gespannt. :)

Danke! :)
 
Top Guide...installiert erstmal die CA auf einem DC. Da könnt ich im Strahl direkt :kotz:
 
  • Gefällt mir
Reaktionen: Poati, _Shorty und Pilatesjünger
Poati schrieb:
@Tamron
Sowas sieht man leider viel zu häufig. Sei es auch mit anderen Rollen. Idealerweise sollte ein DC aber gar nichts anderes machen außer eben DC sein.
Zum Vergrößern anklicken....
Warum sollte auf einem DC kein CA laufen? Also ich trenne meine Maschinen auch nach Diensten aber ich hätte jetzt wahrscheinlich den CA mit auf dem DC geschmissen. Deshalb frage ich warum das nicht gut ist.

Danke.
 
Ein DC ist ein DC und macht nur das.
Wenn du den migrierst brauchst du nur eine Stunde und musst dich nicht um andere Sachen kümmern.
So müsstest du erstmal die CA migrieren, bevor du den DC migrieren kannst.

Und die CA wird zweistufig aufgesetzt.
 
  • Gefällt mir
Reaktionen: pscriptos
Gut. Dann gibt das heute abend einfach noch eine zweite Maschine, die ich dann hoch ziehe. 👍
 
@donnerwolke
In deiner Microsoft/Windows-Struktur ist der DC im Prinzip dein heiliger Gral und dein AD möchtest du dir nicht mit anderen Dingen versauen. Ich habe den konkreten Fall mit der Windows CA noch nicht durch und ich sehe jetzt keine technischen Gründe, warum man es nicht machen könnte. Das Leben macht man sich aber definitiv einfacher, wenn der DC nur DC bleibt. Wenn mit einer, ich nenne es mal Nebenrolle, etwas auf der Maschine in die Hose geht, dann hat man den Salat. Mal eben AD neu hochziehen ist auch kein Spaß. Du schaffst dir nur Abhängigkeiten, wo man keine haben möchte.

Aber es kommt vielleicht auch noch ein wenig drauf an, von was für einer Umgebung wir hier sprechen? Für die eigene Spielwiese ist das wohl in Ordnung, sofern man sich denn bewusst ist, was man sich da im Zweifel einhandelt.
 
Poati schrieb:
@donnerwolke
Aber es kommt vielleicht auch noch ein wenig drauf an, von was für einer Umgebung wir hier sprechen? Für die eigene Spielwiese ist das wohl in Ordnung, sofern man sich denn bewusst ist, was man sich da im Zweifel einhandelt.
Zum Vergrößern anklicken....
Ich würde die Domäne glaube ich nicht mehr als Spielweise bezeichnen. Das war sie vor 3 Jahren mal. Ich bin ein ganz großer Fan von 'für jeden Dienst ein eigener Server' und ja, es stimmt: wenn mir irgendwas um die Ohren fliegt dann will ich mich nicht um zwei Sachen kümmern müssen.
Ich werde den CA heute abend auf einen anderen Server installieren - als einzelnen Dienst.
 
Zuletzt bearbeitet:
OldZocKerGuy schrieb:
Du kannst beides laufen lassen, LDAP (389) und LDAPS (636)
Gucke mal:
https://techcommunity.microsoft.com...-to-setup-ldaps-on-windows-server/ba-p/385362
Zum Vergrößern anklicken....
Jetzt muss ich mich doch noch mal zu Wort melden.
Und zwar habe ich bisher nur den AD Dienst installiert:
1663701983041.png


Wenn ich das richtig verstanden habe müsste ich nun den oberen Punkt "Active Directory Lightweight Directory Services" installieren. Gibt das keine Probleme?
Ich versuche gerade eben noch den Unterschied zu finden. Ich weiss, dass LDAP eigentlich was anderes ist aber wenn ich das richtig verstanden habe muss ich dies installieren damit ich am Ende eine Möglichkeit habe mich per LDAPS zu verbinden. Ist das richtig?

Vielen Dank!
 
Also ich habe da nie Probleme dadurch gehabt, es ist eigentlich eine funktional eingeschränkte Version des AD DS und für LDAP Anwendungen eher gedacht, in Kombination mit dem Active Directory gibt es da aber keine Probleme, viele Firmen fahren diese Kombi so.

Der sogenannte Active Directory-Anwendungsmodus ist ein unabhängiger Modus von Active Directory ohne Infrastrukturfeatures. Im Klartext werden Verzeichnisdienste für Anwendungen bereitgestellt . ADAM fungiert als eigenständiger Datenspeicher oder arbeitet mit Active Directory zusammen und versetzt mit seiner Flexibilität Administratoren in die Lage, die Infrastruktur des Verzeichnisdienstes unterschiedlich zu nutzen. Mit ADAM stehen ein Datenspeicher und Dienste für den Zugriff auf diesen Datenspeicher bereit und hiermit können Standard-APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) für den Zugriff auf Anwendungsdaten genutzt werden. ADAM ist eine Light Datenbank und arbeitet mit ADFS zusammen, um einen Benutzerdatenspeicher für die anwendungsbezogene Authentifizierung im Extranet bereitzustellen. Im Gegensatz zum LDAP des AD können mit ADAM beliebig viele Instanzen existieren und jeweils ein eigenes Schema besitzen. Jede einzelne Instanz läuft als ein Windows-Dienst, der getrennt steuerbar ist.

Kann natürlich per LDAP angesprochen werden ist aber KEIN Protokoll sondern eine Anwendung. Wie die AD übrigens auch. LDAP ist nur die "Sprache" mit der darauf zugegriffen werden kann.
 
Das fühlt sich falsch an.
Ich hab die ganze Zeit das gefühl als erstelle ich ein LDAP neben dem AD und das war ja eigentlich nicht mein Ziel.
1663704307030.png

Ich musste auch andere Ports auswählen und durfte den Port 389 zb nicht wählen. Jetzt sollte ich unten eigentlich die Definition machen und die wird wohl auch anders aussehen müssen als mein AD oder?
Ich bin maximal verwirrt.

Gibt es sonst keine Möglichkeit im AD den Port 636 und damit SSL zu aktivieren?
Muss das zwangsläufig über LDAP laufen?
Meine nächste Sorge wäre auch, dass der LDAP Dienst nicht auf meine Benutzer im AD zugreifen kann. Wie gesagt, nur eine Vermutung.
 
SOO :D
Hat alles geklappt.
Ich habe nur einen CA installiert, diesen Konfiguriert, dieser hat sich dann beim DC gemeldet und das Cert übermittelt und ab dann war ein Zugriff per Port 636 und SSL möglich. :D

1663709130943.png


Ich denke, ich hab mich vll auch falsch ausgedrückt.
Die LDAP Rolle habe ich nun wieder runter geschmissen.

Die Einrichtung war wirklich nicht schwer. Ich hatte einfach nur viel Respekt weil die AD eben ein altes Projekt von mir ist und ich heute immer noch ab und an damit arbeite.

Vielen lieben Dank für eure Hilfe ! :)

EDIT:
Für den Rest, die vll gleiches vor haben: Ich habe folgende Quellen genutzt:

1. https://learn.microsoft.com/de-de/w...ver-certs/install-the-certification-authority
2. https://www.anreiter.at/active-directory-zertifikatsdienste-bereitstellen/
3. https://www.der-windows-papst.de/wp-content/uploads/2016/10/LDAP-over-SSL.pdf
 
Zuletzt bearbeitet:
Tamron schrieb:
Und die CA wird zweistufig aufgesetzt.
Zum Vergrößern anklicken....
Wird sie nicht. Eine ausschließlich interne genutzte CA reicht vollkommen einstufig und AD-integriert aufgebaut zu werden. Das reduziert den Wartungsaufwand (Erneuerung und Veröffentlichung der CRL) und ist sicherheitstechnisch nicht bedenklich.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Active Directory in LDAP integrieren
Antworten
5
Aufrufe
559
Skysnake
S
dj-hotline
Active Directory - Security Tipps
Antworten
18
Aufrufe
1.061
dj-hotline
dj-hotline
Unbrained
Software(?) zum erstellen von Google, Active Directory, 1Password und 3CX Accounts
Antworten
6
Aufrufe
2.003
crashbandicot
crashbandicot
K
DNS Server bei Active Directory zeigt immer auf Router
Antworten
10
Aufrufe
2.679
Renegade334
R
schrotti12
[Ubuntu 23.10 Cinnamon] Active Directory Benutzer für Systemänderung
Antworten
2
Aufrufe
872
schrotti12
schrotti12
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz