Active Directory SSL im Kompatibilitätsmodus

[donnerwolke]

Hallo zusammen,

Ich hoffe, der Beitrag hier ist richtig. Es geht eigentlich um einen Windows Server 2016.

Ich habe einen Windows Server 2016, der zu einem DC hochgestuft wurde.
Mein LDAP ist per Port 389 erreichbar.

Nun habe ich ein Tool hier liegen, welches ich gerne mit LDAP nutzen möchte. Dieses Tool setzt LDAPS voraus.
Aktuell habe ich aber einige Anwendungen, welche mit meinem LDAP verbunden sind.

Meine Frage nun:
Habe ich die Möglichkeit auf LDAPS umzustellen um dann trotz allem noch die normale LDAP Connection der Applikationen nutzen zu können? In einem sogenannten Kompatibilitätsmodus?
Damit hätte ich noch ein wenig Zeit um meine Anwendungen umzustellen. Vielleicht gibt es aber auch noch eine etwas ältere Anwendung, welche eben noch kein LDAPS kann. Dann wäre die Option hier wirklich essentiell.

Ich habe dazu in der Suche leider nichts gefunden und bin aktuell sehr vorsichtig, weil in der Domäne eben schon viele Anpassungen drin sind (in Form von GPOs)

Vielen Dank und eine gute Nacht allen!

 

[OldZocKerGuy]

Du kannst beides laufen lassen, LDAP (389) und LDAPS (636)
Gucke mal:
https://techcommunity.microsoft.com...-to-setup-ldaps-on-windows-server/ba-p/385362

 

[donnerwolke]

Wow das ist einiges.
Das ist nichts, was ich heute Nacht noch anreißen werde. Das werde ich vll morgen Abend mal machen.
Danke für die schnelle Rückmeldung.

Ich bin gespannt.

Danke!

 

[Tamron]

Top Guide...installiert erstmal die CA auf einem DC. Da könnt ich im Strahl direkt

 

[Poati]

@Tamron
Sowas sieht man leider viel zu häufig. Sei es auch mit anderen Rollen. Idealerweise sollte ein DC aber gar nichts anderes machen außer eben DC sein.

Alternativ kannst du dir auch ein Zertifikat besorgen und es nur installieren, wenn du keine eigene CA aufsetzen möchtest. Siehe hier: https://learn.microsoft.com/en-us/t...ble-ldap-over-ssl-3rd-certification-authority

 

[donnerwolke]

@Tamron
Sowas sieht man leider viel zu häufig. Sei es auch mit anderen Rollen. Idealerweise sollte ein DC aber gar nichts anderes machen außer eben DC sein.

Warum sollte auf einem DC kein CA laufen? Also ich trenne meine Maschinen auch nach Diensten aber ich hätte jetzt wahrscheinlich den CA mit auf dem DC geschmissen. Deshalb frage ich warum das nicht gut ist.

Danke.

 

[Tamron]

Ein DC ist ein DC und macht nur das.
Wenn du den migrierst brauchst du nur eine Stunde und musst dich nicht um andere Sachen kümmern.
So müsstest du erstmal die CA migrieren, bevor du den DC migrieren kannst.

Und die CA wird zweistufig aufgesetzt.

 

[donnerwolke]

Gut. Dann gibt das heute abend einfach noch eine zweite Maschine, die ich dann hoch ziehe. 👍

 

[Poati]

@donnerwolke
In deiner Microsoft/Windows-Struktur ist der DC im Prinzip dein heiliger Gral und dein AD möchtest du dir nicht mit anderen Dingen versauen. Ich habe den konkreten Fall mit der Windows CA noch nicht durch und ich sehe jetzt keine technischen Gründe, warum man es nicht machen könnte. Das Leben macht man sich aber definitiv einfacher, wenn der DC nur DC bleibt. Wenn mit einer, ich nenne es mal Nebenrolle, etwas auf der Maschine in die Hose geht, dann hat man den Salat. Mal eben AD neu hochziehen ist auch kein Spaß. Du schaffst dir nur Abhängigkeiten, wo man keine haben möchte.

Aber es kommt vielleicht auch noch ein wenig drauf an, von was für einer Umgebung wir hier sprechen? Für die eigene Spielwiese ist das wohl in Ordnung, sofern man sich denn bewusst ist, was man sich da im Zweifel einhandelt.

 

[donnerwolke]

@donnerwolke
Aber es kommt vielleicht auch noch ein wenig drauf an, von was für einer Umgebung wir hier sprechen? Für die eigene Spielwiese ist das wohl in Ordnung, sofern man sich denn bewusst ist, was man sich da im Zweifel einhandelt.

Ich würde die Domäne glaube ich nicht mehr als Spielweise bezeichnen. Das war sie vor 3 Jahren mal. Ich bin ein ganz großer Fan von 'für jeden Dienst ein eigener Server' und ja, es stimmt: wenn mir irgendwas um die Ohren fliegt dann will ich mich nicht um zwei Sachen kümmern müssen.
Ich werde den CA heute abend auf einen anderen Server installieren - als einzelnen Dienst.

 

[donnerwolke]

Du kannst beides laufen lassen, LDAP (389) und LDAPS (636)
Gucke mal:
https://techcommunity.microsoft.com...-to-setup-ldaps-on-windows-server/ba-p/385362

Jetzt muss ich mich doch noch mal zu Wort melden.
Und zwar habe ich bisher nur den AD Dienst installiert:

Wenn ich das richtig verstanden habe müsste ich nun den oberen Punkt "Active Directory Lightweight Directory Services" installieren. Gibt das keine Probleme?
Ich versuche gerade eben noch den Unterschied zu finden. Ich weiss, dass LDAP eigentlich was anderes ist aber wenn ich das richtig verstanden habe muss ich dies installieren damit ich am Ende eine Möglichkeit habe mich per LDAPS zu verbinden. Ist das richtig?

Vielen Dank!

 

[OldZocKerGuy]

Also ich habe da nie Probleme dadurch gehabt, es ist eigentlich eine funktional eingeschränkte Version des AD DS und für LDAP Anwendungen eher gedacht, in Kombination mit dem Active Directory gibt es da aber keine Probleme, viele Firmen fahren diese Kombi so.

Der sogenannte Active Directory-Anwendungsmodus ist ein unabhängiger Modus von Active Directory ohne Infrastrukturfeatures. Im Klartext werden Verzeichnisdienste für Anwendungen bereitgestellt . ADAM fungiert als eigenständiger Datenspeicher oder arbeitet mit Active Directory zusammen und versetzt mit seiner Flexibilität Administratoren in die Lage, die Infrastruktur des Verzeichnisdienstes unterschiedlich zu nutzen. Mit ADAM stehen ein Datenspeicher und Dienste für den Zugriff auf diesen Datenspeicher bereit und hiermit können Standard-APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) für den Zugriff auf Anwendungsdaten genutzt werden. ADAM ist eine Light Datenbank und arbeitet mit ADFS zusammen, um einen Benutzerdatenspeicher für die anwendungsbezogene Authentifizierung im Extranet bereitzustellen. Im Gegensatz zum LDAP des AD können mit ADAM beliebig viele Instanzen existieren und jeweils ein eigenes Schema besitzen. Jede einzelne Instanz läuft als ein Windows-Dienst, der getrennt steuerbar ist.

Kann natürlich per LDAP angesprochen werden ist aber KEIN Protokoll sondern eine Anwendung. Wie die AD übrigens auch. LDAP ist nur die "Sprache" mit der darauf zugegriffen werden kann.

 

[donnerwolke]

Das fühlt sich falsch an.
Ich hab die ganze Zeit das gefühl als erstelle ich ein LDAP neben dem AD und das war ja eigentlich nicht mein Ziel.

Ich musste auch andere Ports auswählen und durfte den Port 389 zb nicht wählen. Jetzt sollte ich unten eigentlich die Definition machen und die wird wohl auch anders aussehen müssen als mein AD oder?
Ich bin maximal verwirrt.

Gibt es sonst keine Möglichkeit im AD den Port 636 und damit SSL zu aktivieren?
Muss das zwangsläufig über LDAP laufen?
Meine nächste Sorge wäre auch, dass der LDAP Dienst nicht auf meine Benutzer im AD zugreifen kann. Wie gesagt, nur eine Vermutung.

 

[donnerwolke]

SOO
Hat alles geklappt.
Ich habe nur einen CA installiert, diesen Konfiguriert, dieser hat sich dann beim DC gemeldet und das Cert übermittelt und ab dann war ein Zugriff per Port 636 und SSL möglich.

Ich denke, ich hab mich vll auch falsch ausgedrückt.
Die LDAP Rolle habe ich nun wieder runter geschmissen.

Die Einrichtung war wirklich nicht schwer. Ich hatte einfach nur viel Respekt weil die AD eben ein altes Projekt von mir ist und ich heute immer noch ab und an damit arbeite.

Vielen lieben Dank für eure Hilfe !

EDIT:
Für den Rest, die vll gleiches vor haben: Ich habe folgende Quellen genutzt:

1. https://learn.microsoft.com/de-de/w...ver-certs/install-the-certification-authority
2. https://www.anreiter.at/active-directory-zertifikatsdienste-bereitstellen/
3. https://www.der-windows-papst.de/wp-content/uploads/2016/10/LDAP-over-SSL.pdf

 

[crashbandicot]

Und die CA wird zweistufig aufgesetzt.

Wird sie nicht. Eine ausschließlich interne genutzte CA reicht vollkommen einstufig und AD-integriert aufgebaut zu werden. Das reduziert den Wartungsaufwand (Erneuerung und Veröffentlichung der CRL) und ist sicherheitstechnisch nicht bedenklich.