NTDS LDAP -- Fehler im Integritätsbericht

[Proxima]

Hallo,

ich bekomme in letzter Zeit, seit dem eibinden eines NAS (NAS zur Domäne hinzugefügt; SSL/TLS auf dem NAS aktiviert), immer wieder den folgenden Fehler im Integritätsbericht:

Kritische Fehler in Ereignisprotokollen in den letzten 24 Stunden

NTDS LDAP
Ereignis-ID: 2147486535

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:

(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder

(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).



Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers
deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen
dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".



Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.



Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.
Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf
Stufe 2 oder höher.



Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 0

Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 2
Letztes Vorkommen: Sonntag, 20. April 2014 16:37:13 Gesamtanzahl Vorkommen: 1

Nun bin ich dem Link gefolgt und habe den Server, wie in dem Beitrag angegeben eingestellt, aber trotzdem bekomme ich den gleichen Fehler wieder angezeigt.

Was mir aufgefallen ist, ist dass in der Registry im Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters der Parameter LDAPServerIntegrity immer wieder von meinen eingestellten "2" von irgendestwas auf "1" zurück gestellt wird.
Ausserdem, wenn ich wie im Link beschrieben, das Ganze teste, bekomme ich anstatt: Fehler bei Ldap_simple_bind_s(): starke Authentifizierung erforderlich immer Error <49>: ldap_simple_bind_s() failed: Ungültige Anmeldeinformationen .

Wie bekomme ich das richtig eingestellt.


Gruß Proxima

[Nobby1805]

Was ist das denn für ein NAS ?
Sieht für mich nach einer Fehlkonfiguration des NAS aus ... ist die NAS im selben LAN-Segment ? Ist die Firewall richtig konfiguriert (Port 636) ?

[Proxima]

Hallo,

es handelt sich um ein Synology DS414 NAS. Dies habe ich in die Domäne eingebunden:

NAS1.png (29.87 KiB) 3492 mal betrachtet

NAS2.png (36.06 KiB) 3492 mal betrachtet

Eine Verbindung kann hergestellt werden und ich kann auf das NAS auch zugreifen.

Was meinst Du mit Firewall konfiguriert (Port 636) ??? Was muß da konfiguriert werden ???

Gruß Proxima

[Nobby1805]

636 ist der LDAPS-Port .. der sollte in der Firewall freigegeben sein ... (kein Ahnung ob das automatisch gemacht wird )

und was hast du bei Domänenbenutzer eingetragen ? Die Fehlermeldung deutet ja darauf hin, dass dort nichts oder etwas falsches eingetragen ist ...

Geben Sie im angezeigten Fenster den Benutzernamen und das Passwort für den Administrator des Domainservers ein.

PS du wirst hier im Forum vermutlich niemanden finden der deine Kombination Server/NAS auch einsetzt und aus eigener Erfahrung sprechen kann

[Proxima]

Hallo,

die Benutzer werden ja von der Domäne ausgelesen. Ich selbst habe dort keine Benutzer eingetragen:

NAS3.png (26.2 KiB) 3480 mal betrachtet

NAS4.png (31.23 KiB) 3480 mal betrachtet

Kann ich mit dem Zertifikat was anfangen ???

Gruß Proxima

[Nobby1805]

Das ist die Liste aller Benutzer .. aber ich habe die Doku so verstanden, dass du ihm sagen musst mit welchem Admin-User (und Passwort) er auf das LDAP (ADLDS) zugreifen soll ...

Um weiter zu spekulieren ... evt. bringt es etwas, das Zertifikat zu exportieren und auf dem DC zu importieren

[Proxima]

Hallo,

ich habe das Zertifikat exportiert.

NAS5.png (3.18 KiB) 3479 mal betrachtet

Was stelle ich nun mit den Dateien genau an. Wie importiere ich nun das Zertifikat im WSE 2012. Habe leider gerade den ersten Kontakt mit Zertifikaten.

Gruß Proxima

[Nobby1805]

Du kannst Fragen fragen ich hab' hier nix mit dem ich meine Antwortversuche prüfen kann

Du könntest es mal im IE > Extras > Internetoptionen > Inhalte > Zertifikate versuchen

ABER: ich würde erst noch einmal die Doku des NAS ganz genau lesen und Usernamen/Passwort für den LDAP-Zugriff überprüfen ... da steht doch ab Seite 44 einiges zu dem Thema