34
Diverse Fehler im ActiveDirectory
Hallo,
ich habe auf dem DC merkwürdige Fehlermeldungen des AD.
DC ist ein einzelner Windows 2012 R2. Verwaltet ca. 10 Clients (Win10 / Win7)
Beim Aufruf von "Actice Directory-Benutzer und -Computer" bekomme ich die angehängte Fehlermeldung (1)
Weiterhin finden sich diverse Fehlermeldungen im Ereignisdienst (2)
DCDIAG liefert (3)
Und dann gibt es in der Ereignisanzeige noch einige weitere beunruhigende Meldungen (4), (5), (6) und (7)
Ich bin gerade ratlos was hier passiert sein könnte.
Meine Vermutung geht aufgrund der Ereignisanzeige in Richtung Zertifikatsfehler?!
Vielen Dank für jeden guten Tipp.
ich habe auf dem DC merkwürdige Fehlermeldungen des AD.
DC ist ein einzelner Windows 2012 R2. Verwaltet ca. 10 Clients (Win10 / Win7)
Beim Aufruf von "Actice Directory-Benutzer und -Computer" bekomme ich die angehängte Fehlermeldung (1)
Weiterhin finden sich diverse Fehlermeldungen im Ereignisdienst (2)
DCDIAG liefert (3)
Und dann gibt es in der Ereignisanzeige noch einige weitere beunruhigende Meldungen (4), (5), (6) und (7)
Ich bin gerade ratlos was hier passiert sein könnte.
Meine Vermutung geht aufgrund der Ereignisanzeige in Richtung Zertifikatsfehler?!
Vielen Dank für jeden guten Tipp.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370308
Url: https://administrator.de/contentid/370308
Printed on: April 25, 2024 at 14:04 o'clock
34 Comments
Latest comment
Zitat von @d3data:
Ich bin gerade ratlos was hier passiert sein könnte.
Meine Vermutung geht aufgrund der Ereignisanzeige in Richtung Zertifikatsfehler?!
Hallo,Ich bin gerade ratlos was hier passiert sein könnte.
Meine Vermutung geht aufgrund der Ereignisanzeige in Richtung Zertifikatsfehler?!
hast du den Server schonmal neugestartet?
Gab es evntuell Updates, die du gemacht hast?
Hat der Server nur die DC und DNS Rolle, oder eventuell noch mehr?
Wenn ja könnten das "Nebenwirkungen" sein...LG
Tom
Hallo,
ja, er wurde proforma von mir vorhin neu gestartet. Die Meldungen sind alle direkt nach dem Neustart.
Waren aber bereits vorher vorhanden.
Der Server hat diverse Rollen. Ist wie gesagt ein Single Server.
Hier eine Übersicht:
ja, er wurde proforma von mir vorhin neu gestartet. Die Meldungen sind alle direkt nach dem Neustart.
Waren aber bereits vorher vorhanden.
Der Server hat diverse Rollen. Ist wie gesagt ein Single Server.
Hier eine Übersicht:
Hallo,
schau auch bitte mal nach Datum und Uhrzeit am Server.
Stefan
schau auch bitte mal nach Datum und Uhrzeit am Server.
Stefan
hatte ich schon. Das passt (leider).
Hallo,
Vermutlich hat dein DNS probleme alles korrekt aufzulösen und das wiederum führt zu folgefehler.
Und prüfe deinen DNS und wie der insgesamt eingestellt bzw. eingerichtet ist.
Gruß,
Peter
Vermutlich hat dein DNS probleme alles korrekt aufzulösen und das wiederum führt zu folgefehler.
Der Server hat diverse Rollen. Ist wie gesagt ein Single Server.
Auf einen DC sollte man nicht alles was sich irgendwie Installieren lässt auch tatsächlich tun. MS vertritt seit Server 2008 eher den Gedanken pro Dienst ein Server oder du hättest dir einen SBS 2011 holen sollen. Ein IIS und der WSUS gehört nicht auf einen DC, auch wenn es der einzige DC bzw. Server ist. Dann gibt es eben kein IIS und oder WSUS.Und prüfe deinen DNS und wie der insgesamt eingestellt bzw. eingerichtet ist.
Gruß,
Peter
Hallo,
eventid.net meldet:
http://www.eventid.net/display-eventid-94-source-CertSvc-eventno-5642-p ....
Ein Zertifikat-Import und anschließender Neustart der Zertifikatdienste löste das.
BG T.
eventid.net meldet:
http://www.eventid.net/display-eventid-94-source-CertSvc-eventno-5642-p ....
Ein Zertifikat-Import und anschließender Neustart der Zertifikatdienste löste das.
BG T.
puh, an dem Punkt bin ich gerade überfragt, was ich im Einzelnen tun müsste.
Kannst du mir noch einen Hinweis geben?
Kannst du mir noch einen Hinweis geben?
du benötigst offensichtlich ein SSL-Zertifikat für die Authentifizierung in deiner Domäne. Dienste fragen danach und werfen Fehler in deiner Ereignisanzeige. EventID 94: Du kannst nicht mehr auf den Zertfikatspeicher zugreifen. Erstelle ein gültiges root-Zertifikat mit Certutil.exe und registriere dieses für die Kommunikation im AD und starte den Zertifikat-Dienst neu. Auch Event 44 verweist auf diese Lösung.
http://www.eventid.net/display-eventid-44-source-CertSvc-eventno-4840-p ...
http://www.eventid.net/display-eventid-44-source-CertSvc-eventno-4840-p ...
Hi,
ich denke, das könnte ein Inseleffekt sein.
Wenn der Server nach einem Neustart ne Weile braucht, bis er funktioniert, dann ist das normal.
Er ist der einzige DC und die DNS-Zonen sind offenbar AD-integriert. Der alte Fehler. Bei einer Ein-DC-Umgebung sollte man die Zonen nicht ins AD integrieren, auch wenn der Promo-Assi das automatisch so macht.
Das würde also die Meldungen unmittelbar nach dem Neustart erklären. (DNS-Server, GPO und CA)
Allerdings sollte er sich spätestens 30 min nach dem Neustart "eingerenkt" haben.
Kannst Du inzwischen mit den u.g. MMC's arbeiten oder kommt da immr noch ein Fehler?
- Active Directory Benutzer und Computer
- DNS Server
E.
ich denke, das könnte ein Inseleffekt sein.
Wenn der Server nach einem Neustart ne Weile braucht, bis er funktioniert, dann ist das normal.
Er ist der einzige DC und die DNS-Zonen sind offenbar AD-integriert. Der alte Fehler. Bei einer Ein-DC-Umgebung sollte man die Zonen nicht ins AD integrieren, auch wenn der Promo-Assi das automatisch so macht.
Das würde also die Meldungen unmittelbar nach dem Neustart erklären. (DNS-Server, GPO und CA)
Allerdings sollte er sich spätestens 30 min nach dem Neustart "eingerenkt" haben.
Kannst Du inzwischen mit den u.g. MMC's arbeiten oder kommt da immr noch ein Fehler?
- Active Directory Benutzer und Computer
- DNS Server
E.
Leider ist der Fehler permanent.
Ich bekomme nach Aufruf von "Active Directory Benutzer und Computer" zwei Fehler
Der DNS MMC kann geöffnet werden und zeigt mir auch keine Fehler.
Ich bekomme nach Aufruf von "Active Directory Benutzer und Computer" zwei Fehler
Der DNS MMC kann geöffnet werden und zeigt mir auch keine Fehler.
Wenn ich das so sehe, scheint DNS zu funktionieren. Die Kommunikation innerhalb des AD mit DNS ist gestört da der Zugriff nicht authentifiziert werden kann. SSl-Kommunikation geht nicht...Ohne Authentifizierung keine Sicht auf die Konsolen und keine Aktualisierungen. Warum das nicht mehr greift kann man so nicht sehen.
T.
T.
Also doch das root-Cert tauschen, wie Toperator vorgeschlagen hat?
In dem Link wurde das erneuert ohne die Keys dabei zu berühren. Also die CA wurde auf Basis der alten Keys nur erneuert und dann der Dienst neu gestartet. Natürlich kann das schon sein das der Server nach einem Neustart rumzickt und aufgrund der vielen Rollen und der Standalone-Tatsache eine Weile braucht bis das AD sich reorgarnisiert hat. Aber solch permanente Anzeigen bezüglich Authentifizierung lassen mich den Fehler wo anders suchen.
T.
T.
Moin
Hier würde ich zuerst ansetzen.
[OT]
Peter, hier muss ich dir mal widersprechen.
Als er sich den 2012R2 gekauft hatte, war der SBS2011 sicher keine wirkliche Option mehr.
Bei 10 Clients ist das auch alles sehr überschaubar.
Klar empfiehlt MS, den WSUS seit W2012 nicht auf einem DC zu installieren, allerdings habe ich bisher nirgends gelesen, dass es nicht unterstützt wird. Wenn wir jetzt in jeder kleinen Umgebung anfangen, pro Rolle einen Windows-Server zu installieren, dann werden die Lizenz-Kosten so explodieren, dass die Kunden da nicht mitspielen.
Beispiel:
Bei einem Kunden dieser Größenordnung (8-10 Clients) habe ich vor einiger Zeit den bis dahin einzigen Windows-Server 2008R2 durch einen 2012R2 Standard ersetzt.
Der ist jetzt Hyper-V-Host und darauf laufen mit dieser Lizenz 2 virtuelle W2012R2.
Nr. 1 ist auch DC (auch DHCP-, Printserver, Fileserver)
Nr. 2 ist auch Exchange Server 2016 für die paar Mitarbeiter
Die Haupt-Branchenlösung benötigt einen SQL-Server. Wohin damit? Klar doch, Extra-VM mit weiterer Server-Lizenz?
DATEV für 3 PCs (aber nur Einplatzlizenz) mit SQL-Datenbank auf Server. Noch eine VM?
WSUS -> wieder andere VM oder doch zur ERP-Lösung
Diverse Programme (Banking, Hausverwaltung, Planung etc) mit Client-Server-Funktion auch wieder auf andere VMs?
Ne, hier muss man mal die Kirche im Dorf lassen.
Die Server-Dienste wurden von mir auf die vorhandenen VMs verteilt.
So läuft halt auch DATEV auf der VM mit dem Exchange und auf dem DC ist ein SQL-Server für die Branchenlösung installiert.
Da der SQL-Server Standard schon da ist, wurde auch gleich der WSUS auf diesen DC installiert.
Die Datensicherung (BackupExec) ist direkt auf dem Hyper-V installiert (auch wieder inkl. eigenem SQL-Server)
Das sollte nur mal ein Beispiel für solche ein Szenario in einer ähnlichen Firma sein.
[/OT]
Sorry für den langen Off-Topic-Text, aber das musste ich mal loswerden.
Zitat von @Pjordorf:
Vermutlich hat dein DNS probleme alles korrekt aufzulösen und das wiederum führt zu folgefehler.
Das sehe ich ähnlich.Vermutlich hat dein DNS probleme alles korrekt aufzulösen und das wiederum führt zu folgefehler.
Hier würde ich zuerst ansetzen.
[OT]
Der Server hat diverse Rollen. Ist wie gesagt ein Single Server.
Auf einen DC sollte man nicht alles was sich irgendwie Installieren lässt auch tatsächlich tun. MS vertritt seit Server 2008 eher den Gedanken pro Dienst ein Server oder du hättest dir einen SBS 2011 holen sollen. Ein IIS und der WSUS gehört nicht auf einen DC, auch wenn es der einzige DC bzw. Server ist. Dann gibt es eben kein IIS und oder WSUS.Als er sich den 2012R2 gekauft hatte, war der SBS2011 sicher keine wirkliche Option mehr.
Bei 10 Clients ist das auch alles sehr überschaubar.
Klar empfiehlt MS, den WSUS seit W2012 nicht auf einem DC zu installieren, allerdings habe ich bisher nirgends gelesen, dass es nicht unterstützt wird. Wenn wir jetzt in jeder kleinen Umgebung anfangen, pro Rolle einen Windows-Server zu installieren, dann werden die Lizenz-Kosten so explodieren, dass die Kunden da nicht mitspielen.
Beispiel:
Bei einem Kunden dieser Größenordnung (8-10 Clients) habe ich vor einiger Zeit den bis dahin einzigen Windows-Server 2008R2 durch einen 2012R2 Standard ersetzt.
Der ist jetzt Hyper-V-Host und darauf laufen mit dieser Lizenz 2 virtuelle W2012R2.
Nr. 1 ist auch DC (auch DHCP-, Printserver, Fileserver)
Nr. 2 ist auch Exchange Server 2016 für die paar Mitarbeiter
Die Haupt-Branchenlösung benötigt einen SQL-Server. Wohin damit? Klar doch, Extra-VM mit weiterer Server-Lizenz?
DATEV für 3 PCs (aber nur Einplatzlizenz) mit SQL-Datenbank auf Server. Noch eine VM?
WSUS -> wieder andere VM oder doch zur ERP-Lösung
Diverse Programme (Banking, Hausverwaltung, Planung etc) mit Client-Server-Funktion auch wieder auf andere VMs?
Ne, hier muss man mal die Kirche im Dorf lassen.
Die Server-Dienste wurden von mir auf die vorhandenen VMs verteilt.
So läuft halt auch DATEV auf der VM mit dem Exchange und auf dem DC ist ein SQL-Server für die Branchenlösung installiert.
Da der SQL-Server Standard schon da ist, wurde auch gleich der WSUS auf diesen DC installiert.
Die Datensicherung (BackupExec) ist direkt auf dem Hyper-V installiert (auch wieder inkl. eigenem SQL-Server)
Das sollte nur mal ein Beispiel für solche ein Szenario in einer ähnlichen Firma sein.
[/OT]
Sorry für den langen Off-Topic-Text, aber das musste ich mal loswerden.
1
Ich setze keinen IIS oder WSUS auf einen DC. Basta.
Gruß T.
Gruß T.
1
Hi,
ich würde mal in Richtung Kerberos Authentifizierung in der GPO suchen, hier ist sicherlich irgendwas spezifisches eingestellt so das der Datenaustausch gar nicht stattfinden kann. Kannst du Clients fehlerfrei in die Domäne fahren?
ich würde mal in Richtung Kerberos Authentifizierung in der GPO suchen, hier ist sicherlich irgendwas spezifisches eingestellt so das der Datenaustausch gar nicht stattfinden kann. Kannst du Clients fehlerfrei in die Domäne fahren?
"Kannst du Clients fehlerfrei in die Domäne fahren?"
Die Clients können sich fehlerfrei anmelden und haben normalen Zugriff auf Freigaben etc.. Das wolltest du damit sicherlich sagen?
Die Clients können sich fehlerfrei anmelden und haben normalen Zugriff auf Freigaben etc.. Das wolltest du damit sicherlich sagen?
Schau doch mal, ob der Befehl dcdiag unter der Büchse noch funktioniert.
Screenshot von dcdiag hängt im ersten Post. Leider kann ich mit Fehlercode "16" nicht viel anfangen.
Ich kann mir nur schwer vorstellen, dass DCDIAG so wenig anzeigt.
Aber gut.
Du kannst mal hier nachschauen:
https://rakhesh.com/windows/active-directory-troubleshooting-with-dcdiag ...
Vielleicht hilft es ja.
Du beschneidest die Informationen zu stark. So ist es nicht nachvollziehbar, was die Machine wann (falsch) macht und das macht es verdammt schwer, Dir zu helfen.
Aber gut.
Du kannst mal hier nachschauen:
https://rakhesh.com/windows/active-directory-troubleshooting-with-dcdiag ...
Vielleicht hilft es ja.
Du beschneidest die Informationen zu stark. So ist es nicht nachvollziehbar, was die Machine wann (falsch) macht und das macht es verdammt schwer, Dir zu helfen.
Ich denke der Kollege meinte ob ein nichtdomänen-PC in die Domäne eintreten kann.
Hallo,
https://rakhesh.com/windows/active-directory-troubleshooting-with-dcdiag ...
Gruß,
Peter
Zitat von @d3data:
Screenshot von dcdiag hängt im ersten Post. Leider kann ich mit Fehlercode "16" nicht viel anfangen.
Dort steht aber Rückgabewert und nicht Fehler oder error. Du solltest wenn dann schon alles angeben ansonsten dias Ereignissprotokoll studieren oder wir rätseln hier nur rum.Screenshot von dcdiag hängt im ersten Post. Leider kann ich mit Fehlercode "16" nicht viel anfangen.
https://rakhesh.com/windows/active-directory-troubleshooting-with-dcdiag ...
Gruß,
Peter
ok, das habe ich nicht versucht. Wobei sich aktuell alle verfügbaren PC _in_ der Domäne befinden
Kann ich heute nicht mehr klären, fürchte ich.
Kann ich heute nicht mehr klären, fürchte ich.
ich beschneide dort überhaupt nichts. Leider zeigt dcdiag tatsächlich nicht mehr an.
Oder ich mache etwas falsch...
Oder ich mache etwas falsch...
Hallo,
Gruß,
Peter
Zitat von @d3data:
ich beschneide dort überhaupt nichts. Leider zeigt dcdiag tatsächlich nicht mehr an.
Ja das ist so wie auch auf dein erstes Bild.ich beschneide dort überhaupt nichts. Leider zeigt dcdiag tatsächlich nicht mehr an.
Oder ich mache etwas falsch...
Ja, du rufst DCDIag von einem W8.1 Client auf. Versuch es mal direkt auf dein DC....Gruß,
Peter
Hallo,
Ohne jetzt zu sehr vom Thema abschweifen zu wollen, aber ich denke, der SBS ist bei vielen zu Unrecht in Ungnade gefallen. Wenn man nach der Konfiguration einige Dinge berücksichtigt (Zertifizierungstelle überarbeiten, interne und externe URIs gleichsetzen usw.) und nicht jede Powershell- und Registryfrickelei aus dem Internet ins System hackt, hat man schon etwas "produktiv gut Nutzbares" zu einem unschlagbaren Preis.
Ich denke, der ist in erster Linie deshalb in Ungnade gefallen, weil er sich relativ leicht mit "generischem, nicht SBS spezifischem Fachwissen" kaputtspielen lässt und weil sich die seinerzeit hohen Hardwareanforderungen nicht von der Zielgruppe abbilden ließen. Inzwischen bekommt man locker VMs mit 32GB RAM abgebildet.
Was ich allerdings immer tun würde ist, einen Linux-Server davorzukleben, der lediglich das Echange-Geraffel via reversen Proxy durchschubst und das Exchange mit fetchmail o.Ä. "betankt".
Du kannst ja mal in der Bucht gucken, was die Serverlizenzen und CALs gebraucht kosten (die werden übrigens auch zu solchen Preisen gekauft). Aber, wie gesagt - das ist hier wohl etwas Off-Topic
Gruß,
Jörg
Als er sich den 2012R2 gekauft hatte, war der SBS2011 sicher keine wirkliche Option mehr.
Ohne jetzt zu sehr vom Thema abschweifen zu wollen, aber ich denke, der SBS ist bei vielen zu Unrecht in Ungnade gefallen. Wenn man nach der Konfiguration einige Dinge berücksichtigt (Zertifizierungstelle überarbeiten, interne und externe URIs gleichsetzen usw.) und nicht jede Powershell- und Registryfrickelei aus dem Internet ins System hackt, hat man schon etwas "produktiv gut Nutzbares" zu einem unschlagbaren Preis.
Ich denke, der ist in erster Linie deshalb in Ungnade gefallen, weil er sich relativ leicht mit "generischem, nicht SBS spezifischem Fachwissen" kaputtspielen lässt und weil sich die seinerzeit hohen Hardwareanforderungen nicht von der Zielgruppe abbilden ließen. Inzwischen bekommt man locker VMs mit 32GB RAM abgebildet.
Was ich allerdings immer tun würde ist, einen Linux-Server davorzukleben, der lediglich das Echange-Geraffel via reversen Proxy durchschubst und das Exchange mit fetchmail o.Ä. "betankt".
Du kannst ja mal in der Bucht gucken, was die Serverlizenzen und CALs gebraucht kosten (die werden übrigens auch zu solchen Preisen gekauft). Aber, wie gesagt - das ist hier wohl etwas Off-Topic
Gruß,
Jörg
Nein, der Screenshot oben kommt direkt von einer cmd auf dem DC!
Ich vermute hier ein größeres Problem, da dcdiag hier wohl sofort abbricht.
Nur so kann ich mir eure offensichtliche Irritation über die wenigen Ausgaben erklären.
Ich vermute hier ein größeres Problem, da dcdiag hier wohl sofort abbricht.
Nur so kann ich mir eure offensichtliche Irritation über die wenigen Ausgaben erklären.
Hallo,
Mein erster Blick würde zwei Punkten gelten:
1. Laufen alle Dienste
2. Sind alle Zertifikate gültig (Haltbarkeit nicht abgelaufen)
Gruß,
Jörg
Mein erster Blick würde zwei Punkten gelten:
1. Laufen alle Dienste
2. Sind alle Zertifikate gültig (Haltbarkeit nicht abgelaufen)
Gruß,
Jörg
1. Laufen alle Dienste
Das ist natürlich schwierig zu beantworten. Ich würde sage, ja.
Alle "automatisch" eingestellten Dienste bis auf "Remoteregistrierung" und "Software Protection" werden ausgeführt.
Vielleicht ist die Gegenfrage gestattet:
Welche müssen deiner meinung nach zwingen laufen?
es laufen z.B. AD-Domänendienste oder AD-Zertifikatdienste
Ich kann gern noch diverse andere prüfen. ABer die Liste hier zu posten wäre sicher etws viel.
2. Sind alle Zertifikate gültig (Haltbarkeit nicht abgelaufen)
Dazu schaue ich in certlm. Die unter "Eigene Zertifikate -> Zertifikate" hinterlegten Certs (Clientauth, Serverauth) für den Server haben ein Ablaufdatum in der Zukunft.
Wie wäre es, wenn du das Systemhaus deines Vertrauens kontaktierst und um Unterstützung bittest.
Dieses Phänomen bedarf tieferer Analyse und aus meiner Sicht kann dir über diese Forum nur spärlich geholfen werden.
Dieses Phänomen bedarf tieferer Analyse und aus meiner Sicht kann dir über diese Forum nur spärlich geholfen werden.
Hallo Zusammen,
im Laufe des Wochenendes hat sich die Ursache heraus kristallisiert.
Im System soll ein neues Messaging und Collaboration System (Kerio Connect) die bestehende Software (nein, nicht Exchange) ablösen.
Die ersten o.g. Fehlermeldungen in der Ereignisanzeige decken sich auch mit der zeitlichen Installation des Kerio Servers.
Mit einem testweise Abschalten des Kerio Dienstes konnte auch sofort wieder auf "AD-Denutzer und-Computer" zugegriffen werden. Wir sind jetzt im Kontakt mit dem Kerio-Support für die Lösung des Problems.
Somit war es tatsächlich eine sehr individuelle Ursache.
Trotzdem vielen Dank für die umfangreiche Unterstützung, die beim Finden der Ursache sehr geholfen hat.
im Laufe des Wochenendes hat sich die Ursache heraus kristallisiert.
Im System soll ein neues Messaging und Collaboration System (Kerio Connect) die bestehende Software (nein, nicht Exchange) ablösen.
Die ersten o.g. Fehlermeldungen in der Ereignisanzeige decken sich auch mit der zeitlichen Installation des Kerio Servers.
Mit einem testweise Abschalten des Kerio Dienstes konnte auch sofort wieder auf "AD-Denutzer und-Computer" zugegriffen werden. Wir sind jetzt im Kontakt mit dem Kerio-Support für die Lösung des Problems.
Somit war es tatsächlich eine sehr individuelle Ursache.
Trotzdem vielen Dank für die umfangreiche Unterstützung, die beim Finden der Ursache sehr geholfen hat.
Hallo,
auch wenn das Thema schon etwas älter ist wollte ich doch etwas dazu sagen.
Ich hatte bei einem Kunden letzte Woche dasselbe Problem und bin nach tagelanger Fehlersuche durch Zufall hier in dem Thread auf das Wort Kerio Connect gestoßen.
Das Problem liegt an den Kerio Diensten LDAP und LDAPS, die sofern sie aktiviert sind einfach jegliche Anfragen ans AD über LDAP kapern und ins leere laufen lassen.
Ob dies bei aktivierter Option " Benutzerkonten und Gruppen aus einem Verzeichnisdienst abbilden" auch so ist kann ich mangels Testumgebung nicht sagen.
Diese Dienste waren bei dem Kunden standardmäßig aktiviert obwohl die Anbindung des Kerio Connect Servers ans AD nicht aktiviert war.
Installierte Kerio Version 9.2.9 b4540
Grüße
Phil
auch wenn das Thema schon etwas älter ist wollte ich doch etwas dazu sagen.
Ich hatte bei einem Kunden letzte Woche dasselbe Problem und bin nach tagelanger Fehlersuche durch Zufall hier in dem Thread auf das Wort Kerio Connect gestoßen.
Das Problem liegt an den Kerio Diensten LDAP und LDAPS, die sofern sie aktiviert sind einfach jegliche Anfragen ans AD über LDAP kapern und ins leere laufen lassen.
Ob dies bei aktivierter Option " Benutzerkonten und Gruppen aus einem Verzeichnisdienst abbilden" auch so ist kann ich mangels Testumgebung nicht sagen.
Diese Dienste waren bei dem Kunden standardmäßig aktiviert obwohl die Anbindung des Kerio Connect Servers ans AD nicht aktiviert war.
Installierte Kerio Version 9.2.9 b4540
Grüße
Phil
Danke!
was habe ich gesucht...
Gruss
Itchy
was habe ich gesucht...
Gruss
Itchy
Hallo,
auch wenn das schon uralt ist...
Ich habe hier den Eindruck, dass der Kerio als eine Art Proxy funktioniert und den Upstream aus dem AD anreichert.
Ich finde es ziemlich „strange“, den Dienst abzuschalten statt einfach den Upstream zu konfigurieren...
Gruß,
Jörg
auch wenn das schon uralt ist...
Ich habe hier den Eindruck, dass der Kerio als eine Art Proxy funktioniert und den Upstream aus dem AD anreichert.
Ich finde es ziemlich „strange“, den Dienst abzuschalten statt einfach den Upstream zu konfigurieren...
Gruß,
Jörg
