none
LDAPS Zertifikat Fehler auf einem von drei DCs RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben für unsere Domäne LDAPS eingerichtet. Leider bekommen wir für einen der drei DCs immer einen Zertifikatsfehler. Für alle drei DCs haben wir die Zertifikate auf die gleiche Weise über unsere lokale CA ausgestellt. Woran kann es liegen, dass es bei einem nicht geht aber die beiden anderen wunderbar funktionieren?

    Ich habe auch schon versucht noch einmal ein neues Zertifikat zu erstellen und einzubinden, aber der Fehler bleibt gleich.

    Fehlermeldung auf einem Tocat Server bei der Verbindung per LDAPS: Connection Test failed. Response from Server:

    dc3.mydomain:636; nested exception is java.naming.CommunicationException: dc3.mydomain:636 [Root exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative DNS name matching dc3.mydomain found.]

    Ich habe das Zertifikat geprüft und es ist definitiv auf den vollständigen Namen ausgestellt. Alles was ich bisher zu dem Fehler gefunden habe, deutet auf einen falschen Namen im Zertifikat hin. Das ist bei uns aber nicht der Fall. Oder kann er sich irgendwo das falsche Zertifikat ziehen? Wo könnte ich das prüfen?

    Grüße

    Sabine

    Dienstag, 6. Oktober 2020 13:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    wir konnten heute den Fehler finden und beheben. Der DC hat tatsächlich ein anderes Zertifikat verwendet.

    In der Anleitung, die wir zur Einrichtung verwendet haben, wird beschrieben, dass man die Zertifikate in den NTDS/Personal Store importieren muss. Hier hatten wir den Fehler. Nachdem wir die Zertifikate dort gelöscht haben funktioniert alles.

    Vielen Dank an Alle für die Lösungsvorschläge.

    Grüße Sabine

    • Als Antwort markiert SabineN Mittwoch, 14. Oktober 2020 12:28
    Mittwoch, 14. Oktober 2020 12:28
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    certlm auf dem betroffenen DC, Store Personal/My. AD verwendet stumpfsinnig das neueste vorhandene.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Dienstag, 6. Oktober 2020 14:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für die Antwort.

    Ich habe das gerade geprüft. Das Zertifikat für LDAPS ist das Neueste. Daneben gibt es noch ein Domaincontroller Zertifikat, das aber auch auf den vollen Namen ausgestellt ist.

    Donnerstag, 8. Oktober 2020 10:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    der Fehler deutet ja darauf hin, dass der FQDN im Subject Alternate Name (SAN) nicht gefunden wurde. Kannst Du mal schauen, ob er bei beiden Zertifikaten vorhanden ist?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 8. Oktober 2020 13:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe jetzt nochmal geschaut. Dabei ist mir aufgefallen, dass bei dem Zertifikat, das er für LDAPS benutzen sollte, ein Ausrufezeichen beim SAN Eintrag ist. Woher kann das kommen? Darf leider keine Bilder einfügen.

    Wobei auch das bei allen drei Servern gleich ist. Habe leider immer noch nichts gefunden was bei dem DC, auf dem es nicht funktioniert, anders ist.

    SAN Einträge habe ich geprüft, sind bei beiden identisch der FQDN des Servers.


    Montag, 12. Oktober 2020 08:50
    |
  • Question
    Anmelden
    0
    Anmelden
    Dann leg den Screenshot in einen Cloudspeicher Deiner Wahl und poste hier den Link dazu - ohne https:// vorne, weil du das dann auch noch nicht darfst :-)

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Montag, 12. Oktober 2020 11:12
    |
  • Question
    Anmelden
    1
    Anmelden
    ... ohne https:// vorne, weil du das dann auch noch nicht darfst :-)


    ...und damit Du es bald darfst >>> https://social.microsoft.com/Forums/en-US/94f05325-8566-4c4c-806c-179a5a0beafc/verify-accounts-43?forum=reportabug

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 12. Oktober 2020 11:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    wir konnten heute den Fehler finden und beheben. Der DC hat tatsächlich ein anderes Zertifikat verwendet.

    In der Anleitung, die wir zur Einrichtung verwendet haben, wird beschrieben, dass man die Zertifikate in den NTDS/Personal Store importieren muss. Hier hatten wir den Fehler. Nachdem wir die Zertifikate dort gelöscht haben funktioniert alles.

    Vielen Dank an Alle für die Lösungsvorschläge.

    Grüße Sabine

    • Als Antwort markiert SabineN Mittwoch, 14. Oktober 2020 12:28
    Mittwoch, 14. Oktober 2020 12:28
    |