Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

LDAPS Veröffentlichung

5 views
Skip to first unread message

Scherr, Michael

unread,
Jun 4, 2008, 6:05:01 AM6/4/08
to
Guten Tag,

ich habe ein Problem meine LDAPS zu veröffentlichen und finde im Internet
auch nicht besondern viel zu diesem Thema. Aus diesem Grund habe ich gedacht
ich versuche es mal hier. Dazu erst einmal die vorhandene Konfiguration.

ISA 2006 -> Internet -> ISA 2004 -> W2K3 DC

ISA 2006

- hat das Stammzertifikat von dem W2K3 DC in seinem Lokalen Speicher der
vertrausenwürdigen Stammzertifizierungstellen
- hat eine Firewallregel das er Port 389 und 636 von Lokaler Host nach
Extern darf

ISA 2004

- mitglied der Domäne vom W2K3 DC
- hat eine Serververöffentlichungsregel mit Port 389 und 636 Eingehend auf
den W2K3 DC
- ein Verbindungstest mit dem Tool ldp.exe per LDAP und LDAPS auf den W2K3
ist erfolgreich

---------

Wenn ich mich von dem ISA 2006 auf die Externe IP Vom ISA 2004 mit LDAP
verbinde dann funktioniert dies auch (lpd.exe). Versuche ich es allerdings
mit LDAPS kommt nur der Fehler:

ld = ldap_sslinit("EXTERNE_IP", 389, 1);
Error <0x0> = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION,
LDAP_VERSION3);
Error <0x51> = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to EXTERNE_IP.

Muss ich noch spezielle Ports freischalten bzw. brauch der W2K3 und ISA 2004
auch ein Stammzertifizierungstellenzertifikat vom ISA2006? In der Domäne
steht ein W2k DC und ein W2K3 DC ... Domänenfunktionseben ist Windows 200
pur.

Ich bin leider im Moment mit meinem Latein am ende, ich hoffe ihr könnt mir
ein paar Tipps geben woran es liegen könnte.

mfg

Michael Scherr

Jens Mander

unread,
Jun 4, 2008, 6:52:03 AM6/4/08
to
der zu veröffentlichende w2k3 dc muss secure-nat client des isa 2004 sein,
es sei denn du stellst auf der registerkarte "bis" bei der
serververöffentlichung des ldaps-servers den radio-button auf "ursprung der
anforderung scheint der isa server computer zu sein" um.
vielleicht hilft das?

--
gruss, jens mander...
www.aixperts.de
|<-|

"Scherr, Michael" <Sch...@robotron-online.de> schrieb im Newsbeitrag
news:6FA597F3-298C-451E...@microsoft.com...

Scherr, Michael

unread,
Jun 4, 2008, 7:24:09 AM6/4/08
to
Hallo,

also SecureNAT Client ist der W2k3 Server. Die Umstellung bei "bis" hat auch
nicht geholfen. Komisch ist das LDAP geht aber LDAPS nicht :\

mfg micha


------------------------------
"Jens Mander" <jemand[at]aixperts[dot]de> schrieb im Newsbeitrag
news:uSG2LEjx...@TK2MSFTNGP03.phx.gbl...

Jens Mander

unread,
Jun 4, 2008, 9:39:56 AM6/4/08
to
hm, dann kann es eigentlich nur noch am protokoll liegen. welche
protokolldefinition hast du für deine regel genommen. ldaps-server ist ja
standardmäßig keine definition dabei. die richtung ändert sich in eingehend
(bei tcp), nicht ausgehend, bzw. empfangen/senden bei udp. ist die
veröffentlichung mit tcp oder udp als transportprotokoll gemacht worden?

als port scheint ja der "normale" ldap port eingestellt zu sein (393) -
siehe fehlermeldung.
wenn du im netz des dcs einen ssl-verbindungsaufbau machst - der funzt
einwandfrei?
zu deiner frage weiter unten: der 2004er isa bräuchte kein ca-certificate,
da er keine ldap-bridge macht oder kann.

--
gruss, jens mander...
www.aixperts.de
|<-|

"Scherr, Michael" <Sch...@robotron-online.de> schrieb im Newsbeitrag

news:28D220F9-EE89-4F1A...@microsoft.com...

Scherr, Michael

unread,
Jun 5, 2008, 4:19:19 AM6/5/08
to
Hallo,

hier nochmal die genaue Fehlermeldung:

ld = ldap_sslinit("EXTERNE_IP", 636, 1);


Error <0x0> = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION,
LDAP_VERSION3);
Error <0x51> = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to EXTERNE_IP.

Im ISA 2006 hab ich nur eine Serververöffentlichung erstellt. Dort habe ich
eine Eigene Protokolldefinition "LDAP_LDAPS" erstellt. In dieser Definition
habe ich beide Ports 389 TCP und 636 TCP Eingehend eingestellt.

mfg

Michael


----------------------
"Jens Mander" <jemand[at]aixperts[dot]de> schrieb im Newsbeitrag

news:%23sH3Aik...@TK2MSFTNGP04.phx.gbl...

Benjamin Wagrocki

unread,
Jun 5, 2008, 4:26:08 AM6/5/08
to
> Wenn ich mich von dem ISA 2006 auf die Externe IP Vom ISA 2004 mit LDAP
> verbinde dann funktioniert dies auch (lpd.exe). Versuche ich es
> allerdings mit LDAPS kommt nur der Fehler:

1.)
Wie testest Du LDAPS? Machst Du bei ldp.exe den Hacken bei SSL rein?
Soweit ich weiß, reicht es aus, wenn man einfach den Port auf 636
umstellt und NICHT den Hacken bei SSL aktiviert.

2.)
Was gibst Du bei ldp.exe (ISA2006) als Ziel an? Wahrscheinlich die
Externe IP vom ISA04, oder?

Leg mal auf dem ISA 2006 in der HOSTS Datei einen Eintrag an.
[C:\WINDOWS\system32\drivers\etc]}

Externe-IP-ISA04 Servername

Servername =(So wie das Serverzertifikat vom LDAP-Server heißt)


Probier mal dann ldp.exe und gib als Ziel den Servernamen und nicht die
IP an. Geht es?

--
Gruß
-Benjamin-


Jens Mander

unread,
Jun 5, 2008, 4:38:35 AM6/5/08
to
probier mal eine protokolldefinition aus, wo nur der 636er drinne ist. auch
udp wäre ein test wert. dann ist der tipp von benjamin gut, das
serverzertifikat auf deinem internen server wird auf einen dns-namen
ausgestellt sein. wenn du dann auf die externe ip einen verbindungsversuch
startest muss das in die hose gehen.

--
gruss, jens mander...
www.aixperts.de
|<-|

"Scherr, Michael" <Sch...@robotron-online.de> schrieb im Newsbeitrag

news:B27C3E35-7836-4C4A...@microsoft.com...

Scherr, Michael

unread,
Jun 5, 2008, 5:34:57 AM6/5/08
to
Hallo


"Benjamin Wagrocki" <Benjamin...@trash-mail.de> schrieb im Newsbeitrag
news:e95XQXux...@TK2MSFTNGP06.phx.gbl...


>> Wenn ich mich von dem ISA 2006 auf die Externe IP Vom ISA 2004 mit LDAP
>> verbinde dann funktioniert dies auch (lpd.exe). Versuche ich es
>> allerdings mit LDAPS kommt nur der Fehler:
>
> 1.)
> Wie testest Du LDAPS? Machst Du bei ldp.exe den Hacken bei SSL rein?
> Soweit ich weiß, reicht es aus, wenn man einfach den Port auf 636 umstellt
> und NICHT den Hacken bei SSL aktiviert.
>

----------------------
Habe es mit und ohne Haken probiert geht beides nicht
----------------------


> 2.)
> Was gibst Du bei ldp.exe (ISA2006) als Ziel an? Wahrscheinlich die Externe
> IP vom ISA04, oder?

----------------------
ja genau
----------------------


>
> Leg mal auf dem ISA 2006 in der HOSTS Datei einen Eintrag an.
> [C:\WINDOWS\system32\drivers\etc]}
>
> Externe-IP-ISA04 Servername
>
> Servername =(So wie das Serverzertifikat vom LDAP-Server heißt)
>
>
> Probier mal dann ldp.exe und gib als Ziel den Servernamen und nicht die IP
> an. Geht es?

----------------------
ok versuche ich, importiert habe ich aber nur das Stammzertifizierungstellen
zertifikat, was in dem Fall dem Firmennamen entspricht. Oder muss ich noch
das Webserverzertifikat importieren was der Externen IP-Adresse entspricht?
----------------------
>
> --
> Gruß
> -Benjamin-
>
>
>
>

Jens Mander

unread,
Jun 5, 2008, 6:08:03 AM6/5/08
to
das ca-cert reicht aus.

--
gruss, jens mander...
www.aixperts.de
|<-|

"Scherr, Michael" <Sch...@robotron-online.de> schrieb im Newsbeitrag

news:FBA0BC9E-E5B0-4505...@microsoft.com...

Scherr, Michael

unread,
Jun 5, 2008, 8:11:55 AM6/5/08
to
Hallo,

die schei***** geht :).

Danke für Eure Tipps ... endlich funktioniert es. Das mit der Host Datei war
die Lösung. da musste ich allerdings den FQDN Namen vom DC angeben nicht den
vom Zertifikat:

EXTERNE_IP dc01.test.local

Dann per ldp.exe auf die dc01.test.local verbinden und schwups war ich drin
:)

Also danke nochmal für die nette Hilfe.

Mfg micha

--------------------
"Jens Mander" <jemand[at]aixperts[dot]de> schrieb im Newsbeitrag

news:%23NBrOQv...@TK2MSFTNGP04.phx.gbl...

Benjamin Wagrocki

unread,
Jun 5, 2008, 8:30:11 AM6/5/08
to
Freut mich!


Scherr, Michael schrieb:

0 new messages