• SwissSign: geplante Downtime: Klick

  • Willkommen im neuen Forum.

    Solltet ihr "Social Media Login" im alten Forum genutzt haben, macht bitte ein Passwort Reset mit der damals benutzten E-Mail Adresse eures Social Media Kontos. Solltet das nicht funktionieren, dann schaut hier bitte rein: KLICK

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

[RSS] Microsoft erzwingt ab Januar sichere Verbindungen zum Domain Controller

N

nsp-robot

Guest
Microsoft erzwingt ab Januar sichere Verbindungen zum Domain Controller

Mit dem Patchday am 14. Januar wird Microsoft unsichere Verbindungsanfragen an Windows Domain Controller unterdrücken. Diese Änderung wurde bereits im August angekündigt. NoSpamProxy-Kunden können sich entspannt zurücklehnen, denn sie müssen lediglich einen Haken in der Active–Directory–Synchronisation von NoSpamProxy setzen – sofern das noch nicht erfolgt ist. Gegebenenfalls müssen noch Firewall-Ports angepasst werden.  Was muss in NoSpamProxy geändert werden?  Unter Menschen und Identitäten > Domänen und Benutzer werden […]


https://www.nospamproxy.de/de/micro...r-sichere-verbindungen-zum-domain-controller/
 
Prüft NoSpamProxy die Authentizität des LDAP SSL Zertifikats?
Wenn nicht müsste man hier doch eines einer öffentlichen CA hinterlegen oder ?
 
Hallo ffischer,

eine öffentliche CA ist nicht nötig.
Es reicht aus wenn die root und sub CA Zertifikate der eigenen CA in den NSP selbst importiert werden.
Dadurch kann der NSP die Verbindung problemlos aufbauen.
 
Wenn
a. der NSP nicht im AD ist und
b. auf dem DC ein Zertifikat einer eigenen, internen CA mit nicht öffendlichen Zertifikaten verwendet wird,
ist folgendes zu beachten:

1. Das interne Root-Zertifikat und ggf. vorhandene Zwischen Zertifikate müssen in der Windows Cert Verwaltung des NSP Computer Kontos installiert sein - nicht in der NSP Zertifikat Verwaltung.
2. Der NSP muss den DC mit einem Namen ansprechen, welcher in dem Host Cert des DC enthalten ist. Der NSP kann den NSP -NICHT- mit IP Adresse ansprechen.
3. Der Name muss aufgelößt werden. Entweder von einem internen DNS Server - oder man trägt den anzusprechenden Namen in die HOST Tabelle des NSP Servers ein.

Erst dann gelang es mir, den Benutzer Import über eine TLS Verschlüsselte Verbindung herzustellen.

PS. Ob der Weg durch alle Firewalls frei ist, kann man schnell vom NSP zum DC mit "TELNET <Name des DC> 636" testen.

Rolf
 
Zurück
Oben