Die allgemeine Antwort

Question

Die allgemeine Antwort

Grundsätzlich ja, mit Ausnahme von netzwerkbezogenen Konfigurationen wie etwa Firewall-Zugriff für das LDAPS-Protokoll (:636) gegenüber dem LDAP-Protokoll (:389).

Bei einer standardmäßigen Installation einer in Active Directory integrierten Zertifizierungsstelle wird Ihren Domänencontrollern ein Zertifikat basierend auf der Domänencontroller-Zertifikatvorlage ausgestellt, das die Serverauthentifizierungs-OID als Verwendungszweck enthält. Jedes gültige Zertifikat, das diese OID enthält, wird automatisch vom Schannel-Dienst abgerufen und für LDAPS (:636) gebunden.

Das Entfernen dieses Zertifikats oder das Fehlen eines geeigneten Serverauthentifizierungszertifikats führt dazu, dass im Sicherheitsprotokoll der Ereignisanzeige unter der Schannel-Quelle jede Sekunde Warnereignisse protokolliert werden.

Unterstützung für alternative Betreffnamen

Ein häufiges Problem ist die Notwendigkeit einer angemessenen Unterstützung für alternative Betreffnamen für LDAPS-Zertifikate. Die Standardzertifikatsvorlage für Domänencontroller enthält keine SAN-Zertifikatnamen. Wenn Siedomain.commit Domänencontrollern namensdc1.domain.comUnddc2.domain.com, dann ruft LDAPS (:636) aufdomain.comwird unter Verwendung des Zertifikats des antwortenden Domänencontrollers zurückgegeben (dc1.domain.comoderdc2.domain.com). Viele Anwendungen und Protokolle betrachten dies als Sicherheitsbedrohung und geben einen Fehler aus.

Aktivieren der SAN-Unterstützung für LDAPS

Widerrufen und Entfernen des standardmäßig ausgestellten Domänencontrollerzertifikats auf den Domänencontrollern.
Stellen Sie sicher, dass in der Domänencontrollervorlage unter „Sicherheit“ die Leseberechtigung zugelassen ist, die Berechtigungen „Registrieren“ und/oder „Automatisch registrieren“ für Domänencontroller, Enterprise-Domänencontroller und schreibgeschützte Domänencontroller jedoch entfernt werden.
Duplizieren Sie die Kerberos-Authentifizierungsvorlage, die unter anderem die Serverauthentifizierungs-OID enthält.
- Stellen Sie sicher, dass diese Vorlage den Export des Schlüssels zulässt und dass der Betreffname nicht aus Active Directory erstellt wird, sondern zur Bereitstellung innerhalb der Anfrage markiert ist.
- Stellen Sie sicher, dass die Sicherheit der Zertifikatsvorlage Domänencontrollern, Enterprise-Domänencontrollern und schreibgeschützten Domänencontrollern sowohl das Lesen als auch die Registrierung ermöglicht.
Veröffentlichen Sie Ihre neu erstellte Zertifikatsvorlage.
Melden Sie sich bei jedem Domänencontroller an, fordern Sie ein neues Zertifikat aus Ihrer Vorlage an und legen Sie Folgendes als Namensinformationen fest (Beispiel ist fürdc1.domain.com):
- Gemeinsamen Namen:dc1.domain.com
- SANs:dc1.domain.com,dc1,domain.com, UndDomain.
Starten Sie jeden Domänencontroller neu (ist nicht immer erforderlich, aber zur Sicherheit) und überprüfen Sie, dass der Sicherheitskanal der Ereignisanzeige keine Warnungen mehr ausgibt, dass kein geeignetes Zertifikat gefunden wurde.

Bonus-Informationen

Wie kann ich die LDAPS-Konnektivität intern schnell überprüfen?

Melden Sie sich bei einem Domänencontroller an.
Starten Sie LDP.exe.
Öffnen Sie eine neue Verbindung zu einem Domänencontrollernamen, einer IP-Adresse oder dem Domänennamen selbst.
- Hafen: 636
- SSL: Prüfen
Die Ergebnisse zeigen Ihnen, ob Sie eine Verbindung hergestellt haben und mit welchem Domänencontroller-Kontext.

Wie kann ich schnell mein aktuelles Schannel-/LDAPS-Zertifikat sehen?

Laden Sie OpenSSL herunter und/oder greifen Sie darauf zu.
openssl.exe -s_client domain.com:636
Wenn die Verbindung erfolgreich hergestellt wurde, werden im ersten Teil des Protokolls die Verbindungsdetails angezeigt.
Kopieren Sie den gesamten -----BEGIN CERTIFICATE...Durchgangsabschnitt ...END CERTIFICATE-----.
Fügen Sie dies in den Editor ein und speichern Sie es alszertifikat.cer.
Offenzertifikat.cerum das von Schannel/LDAPS vorgelegte Zertifikat anzuzeigen.

Kann ich den gesamten LDAP-Verkehr (:389) blockieren, wenn ich LDAPS (:636) verwende?

Ja und nein. Ja, Sie können LDAP (:389) für den gesamten Nord-Süd-Verkehr (zwischen intern und extern) blockieren. Nein, Sie können LDAP (:389) für den Ost-West-Verkehr (zwischen intern und intern) nicht blockieren. LDAP (:389) ist für bestimmte Replikationsfunktionen in Active Directory von entscheidender Bedeutung. Diese Aktivitäten werden mit Signed and Sealed von Kerberos gesichert.

Entschuldigen Sie, dass ich keine genauen Schritte oder Screenshots zur Verfügung stelle. Ich bin im Moment nicht in der Lage, sie bereitzustellen.

Answer 1

Die allgemeine Antwort

Grundsätzlich ja, mit Ausnahme von netzwerkbezogenen Konfigurationen wie etwa Firewall-Zugriff für das LDAPS-Protokoll (:636) gegenüber dem LDAP-Protokoll (:389).

Bei einer standardmäßigen Installation einer in Active Directory integrierten Zertifizierungsstelle wird Ihren Domänencontrollern ein Zertifikat basierend auf der Domänencontroller-Zertifikatvorlage ausgestellt, das die Serverauthentifizierungs-OID als Verwendungszweck enthält. Jedes gültige Zertifikat, das diese OID enthält, wird automatisch vom Schannel-Dienst abgerufen und für LDAPS (:636) gebunden.

Das Entfernen dieses Zertifikats oder das Fehlen eines geeigneten Serverauthentifizierungszertifikats führt dazu, dass im Sicherheitsprotokoll der Ereignisanzeige unter der Schannel-Quelle jede Sekunde Warnereignisse protokolliert werden.

Unterstützung für alternative Betreffnamen

Ein häufiges Problem ist die Notwendigkeit einer angemessenen Unterstützung für alternative Betreffnamen für LDAPS-Zertifikate. Die Standardzertifikatsvorlage für Domänencontroller enthält keine SAN-Zertifikatnamen. Wenn Siedomain.commit Domänencontrollern namensdc1.domain.comUnddc2.domain.com, dann ruft LDAPS (:636) aufdomain.comwird unter Verwendung des Zertifikats des antwortenden Domänencontrollers zurückgegeben (dc1.domain.comoderdc2.domain.com). Viele Anwendungen und Protokolle betrachten dies als Sicherheitsbedrohung und geben einen Fehler aus.

Aktivieren der SAN-Unterstützung für LDAPS

Widerrufen und Entfernen des standardmäßig ausgestellten Domänencontrollerzertifikats auf den Domänencontrollern.
Stellen Sie sicher, dass in der Domänencontrollervorlage unter „Sicherheit“ die Leseberechtigung zugelassen ist, die Berechtigungen „Registrieren“ und/oder „Automatisch registrieren“ für Domänencontroller, Enterprise-Domänencontroller und schreibgeschützte Domänencontroller jedoch entfernt werden.
Duplizieren Sie die Kerberos-Authentifizierungsvorlage, die unter anderem die Serverauthentifizierungs-OID enthält.
- Stellen Sie sicher, dass diese Vorlage den Export des Schlüssels zulässt und dass der Betreffname nicht aus Active Directory erstellt wird, sondern zur Bereitstellung innerhalb der Anfrage markiert ist.
- Stellen Sie sicher, dass die Sicherheit der Zertifikatsvorlage Domänencontrollern, Enterprise-Domänencontrollern und schreibgeschützten Domänencontrollern sowohl das Lesen als auch die Registrierung ermöglicht.
Veröffentlichen Sie Ihre neu erstellte Zertifikatsvorlage.
Melden Sie sich bei jedem Domänencontroller an, fordern Sie ein neues Zertifikat aus Ihrer Vorlage an und legen Sie Folgendes als Namensinformationen fest (Beispiel ist fürdc1.domain.com):
- Gemeinsamen Namen:dc1.domain.com
- SANs:dc1.domain.com,dc1,domain.com, UndDomain.
Starten Sie jeden Domänencontroller neu (ist nicht immer erforderlich, aber zur Sicherheit) und überprüfen Sie, dass der Sicherheitskanal der Ereignisanzeige keine Warnungen mehr ausgibt, dass kein geeignetes Zertifikat gefunden wurde.

Bonus-Informationen

Wie kann ich die LDAPS-Konnektivität intern schnell überprüfen?

Melden Sie sich bei einem Domänencontroller an.
Starten Sie LDP.exe.
Öffnen Sie eine neue Verbindung zu einem Domänencontrollernamen, einer IP-Adresse oder dem Domänennamen selbst.
- Hafen: 636
- SSL: Prüfen
Die Ergebnisse zeigen Ihnen, ob Sie eine Verbindung hergestellt haben und mit welchem Domänencontroller-Kontext.

Wie kann ich schnell mein aktuelles Schannel-/LDAPS-Zertifikat sehen?

Laden Sie OpenSSL herunter und/oder greifen Sie darauf zu.
openssl.exe -s_client domain.com:636
Wenn die Verbindung erfolgreich hergestellt wurde, werden im ersten Teil des Protokolls die Verbindungsdetails angezeigt.
Kopieren Sie den gesamten -----BEGIN CERTIFICATE...Durchgangsabschnitt ...END CERTIFICATE-----.
Fügen Sie dies in den Editor ein und speichern Sie es alszertifikat.cer.
Offenzertifikat.cerum das von Schannel/LDAPS vorgelegte Zertifikat anzuzeigen.

Kann ich den gesamten LDAP-Verkehr (:389) blockieren, wenn ich LDAPS (:636) verwende?

Ja und nein. Ja, Sie können LDAP (:389) für den gesamten Nord-Süd-Verkehr (zwischen intern und extern) blockieren. Nein, Sie können LDAP (:389) für den Ost-West-Verkehr (zwischen intern und intern) nicht blockieren. LDAP (:389) ist für bestimmte Replikationsfunktionen in Active Directory von entscheidender Bedeutung. Diese Aktivitäten werden mit Signed and Sealed von Kerberos gesichert.

Entschuldigen Sie, dass ich keine genauen Schritte oder Screenshots zur Verfügung stelle. Ich bin im Moment nicht in der Lage, sie bereitzustellen.

Die allgemeine Antwort

Antwort1

Die allgemeine Antwort

Unterstützung für alternative Betreffnamen

Aktivieren der SAN-Unterstützung für LDAPS

Bonus-Informationen

Wie kann ich die LDAPS-Konnektivität intern schnell überprüfen?

Wie kann ich schnell mein aktuelles Schannel-/LDAPS-Zertifikat sehen?

Kann ich den gesamten LDAP-Verkehr (:389) blockieren, wenn ich LDAPS (:636) verwende?

verwandte Informationen