Problemi connessione ldap dopo migrazione dominio

[Nghiumared]

Buongiorno,
Spero possiate aiutarmi a risolvere questo problema dal quale non ne vengo fuori.

Ho clonato la VM Hyper-V del dominio principale su sistema VMWare, la copia esatta con stessa configurazione di rete e mac-address.

Nella rete aziendale funziona perfettamente, ma applicativi di aziende esterne che permettono il login tramite LDAP, non riescono più a fornire tale servizio.

Cosa posso controllare o da cosa può dipendere ?


Grazie

 

[Blume.]

Buongiorno,
Spero possiate aiutarmi a risolvere questo problema dal quale non ne vengo fuori.

Ho clonato la VM Hyper-V del dominio principale su sistema VMWare, la copia esatta con stessa configurazione di rete e mac-address.

Nella rete aziendale funziona perfettamente, ma applicativi di aziende esterne che permettono il login tramite LDAP, non riescono più a fornire tale servizio.

Cosa posso controllare o da cosa può dipendere ?


Grazie

Correggi il titolo...no maiuscolo

grazie

 

[r3dl4nce]

Attenzione che effettuando passaggio da Hyper-V a VMware (p.s. ma siete folli? con il casino con Broadcom VMware sta andando allo sfascio) variano identificatori interni, tipo gli UUID dei dischi, e il dominio "si può rompere"
Sembra funzionare, ma non regolarmente.
La cosa migliore in questi casi è fare un non authoritative restore del dominio da un altro DC

In qeusti casi te ne accorgi se vai a mettere a dominio un nuovo PC o lo verifichi se le repliche non funzionano

 

[Nghiumared]

Ho spostato almeno 35 vm senza problemi, a livello Ping gli applicativi riescono a contattare il dominio, id event 1289 si crea senza problemi

 

[r3dl4nce]

Infatti non è un problema di IP o mac address, ma di identificatori univoci, generalmente la gestione del dominio non riconosce più correttamente il disco associato ai file del dominio (il database ldap, l'area di staging, le repliche, ecc) e quindi si creano problemi.
Io proverei a fare un non auth restore, tanto non ti comporta nulla, semplicemente da un DC secondario viene replicata tutta la struttura del dominio
Le repliche stanno funzionando?
da repadmin /replsummary hai tutto regolare?

 

[Nghiumared]

Infatti non è un problema di IP o mac address, ma di identificatori univoci, generalmente la gestione del dominio non riconosce più correttamente il disco associato ai file del dominio (il database ldap, l'area di staging, le repliche, ecc) e quindi si creano problemi.
Io proverei a fare un non auth restore, tanto non ti comporta nulla, semplicemente da un DC secondario viene replicata tutta la struttura del dominio
Le repliche stanno funzionando?
da repadmin /replsummary hai tutto regolare?

A questo punto presumo che il secondario funzioni solo internamente, suppongo e ne sono quasi certo che gli applicativi puntino al solo dominio primario

 

[r3dl4nce]

cosa intendi per "secondario" e "primario"?
Il dominio suppongo sia unico, avrai più DC replicati
Che output ti dà la verifica delle repliche?

 

[Nghiumared]

Ci sono due DC, il secondario entra in funzione se cade il primo

 

[Nghiumared]

La verifica della replica è positiva

 

[r3dl4nce]

Ci sono due DC, il secondario entra in funzione se cade il primo

I DC sono tutti "allo stesso livello" non esiste più PDC e BDC dai tempi di Windows 2003
Sui client dovresti avere come IP DNS entrambi gli IP dei DC
Al massimo puoi avere un DC che hai ruoli FSMO, ma quelli possono comunque essere trasferiti

Detto ciò, se fai una query al database ldap ti funziona?
puoi provare con ad explorer

AD Explorer - Sysinternals

Active Directory Explorer is an advanced Active Directory (AD) viewer and editor.

learn.microsoft.com

 

[Nghiumared]

I DC sono tutti "allo stesso livello" non esiste più PDC e BDC dai tempi di Windows 2003
Sui client dovresti avere come IP DNS entrambi gli IP dei DC
Al massimo puoi avere un DC che hai ruoli FSMO, ma quelli possono comunque essere trasferiti

Detto ciò, se fai una query al database ldap ti funziona?
puoi provare con ad explorer

AD Explorer - Sysinternals

Active Directory Explorer is an advanced Active Directory (AD) viewer and editor.

learn.microsoft.com

Proverò lunedì, attualmente ho fatto risalire la vecchia vm

 

[Nghiumared]

Buongiorno,

Dopo vari test congiunti con aziende che contattano LDAP, siamo giunti a una conclusione. Ho problemi sulla porta 636 LDAPS dopo la migrazione della vm, in quanto sulla porta 389 in collegamento avviene correttamente.

Ho verificato le porte lato firewall del server e sono ok.

Presumo sia problema di certificato, ma non so come fare le dovute verifiche.

 

[r3dl4nce]

Hai guardato questa guida?

Abilitare LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer) - Windows Server

Spiega come abilitare LDAP su SSL con un'autorità di certificazione di terze parti.

learn.microsoft.com

 

[Nghiumared]

Hai guardato questa guida?

Abilitare LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer) - Windows Server

Spiega come abilitare LDAP su SSL con un'autorità di certificazione di terze parti.

learn.microsoft.com

Sì avevo visto questa guida, ma questa ti permette di creane uno nuovo di terze parti.

Stavo prendendo come riferimento questa:


https://techcommunity.microsoft.com...-to-setup-ldaps-on-windows-server/ba-p/385362

 

[r3dl4nce]

Ma te avevi già LDAP over SSL funzionante? Ad oggi non ho mai avuto questa richiesta, quindi non ho mai dovuto configurarlo.
Mi viene da pensare che con il cambio di virtual storage, quindi di uuid, il certificate store magari non è più valido e devi reimpostare il certificato utilizzato, che credo sia stato rilasciato da un'authority valida, no? Se il certificato è self-signed, che senso ha?