Filterung der Ereignisanzeige nach unverschlüsselten LDAP-Anmeldungen

Aufgrund der bevorstehenden Umstellung von Microsoft auf LDAPS im Active Directory durch ein geplantes Windows Update sollten im Vorfeld die Einstellungen und Logs geprüft werden, um eventuelle Ausfälle bei Applikationen von Drittanbietern zu vermeiden. Unverschlüsselte LDAP Verbindungen werden nach dem Update standardmäßig vom Domain Controller nicht mehr akzeptiert – Eine sinnvolle Grundeinstellung. Jedoch kann dies dazu führen, dass Drittanwendungen, welche die Benutzer über Active Directory über LDAP auslesen, sich nach dem Update nicht mehr anmelden können. Klassiker wären hier z.B. NextCloud, Proxy Server, Monitoring usw. Um die Funktion der Anwendungen zu überprüfen, ist es ratsam, vorab auf dem DomainController zu prüfen, ob sich noch Server oder Dienste per unverschlüsseltem LDAP Anmelden. Wie das zu bewerkstelligen ist wollen wir hier nun konkret aufzeigen:

Klicken Sie in der Ereignisanzeige Ihres Windows Domänencontrollers mit der rechten Maustaste auf „Directory Service“ und wählen Sie anschließend „Benutzerdefinierte Ansicht erstellen aus“.

Erstellen Sie anschließend eine Ansicht für alle Ereignisse in den letzte 24 Stunden mit den Ereignis IDs 2886-2889.

Bestätigen Sie anschließend mit „OK“ und geben Sie dem Filter einen leicht zu identifizierenden Namen.

Nach einer weiteren Betätigung mit „OK“ wird der Filter unter „Benutzerdefinierte Ansichten“ angelegt und kann dort aus ausgewählt werden.

Sollten dort keine Einträge angezeigt werden, muss nichts weiter unternommen werden. Sollten Ereignisse z.B. mit der ID 2887 angezeigt werden, können Sie mit dem folgenden Registry Schlüssel das Logging Level erhöhen:

Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2

Anschließend werden die Ereignisse mit der ID 2889 angezeigt, diese verraten IP und Benutzername aller Verbindungsversuche ohne LDAPS.
Anhand dieser Informationen können dann weiterten Schritte, wie die z.B. Umstellung der betroffenen Applikationen auf LDAPS, unternommen werden.

Gerne unterstützen wir Sie bei der Analyse bzw. der Umstellung der Anwendungen von LDAP auf LDAPS. Sprechen Sie uns an!

Christian Strübel
Letzte Artikel von Christian Strübel (Alle anzeigen)