Autor Thema: LDAP-Dokument in Directory Assistance: "LDAP server is unavailable"  (Gelesen 1767 mal)

Offline Deragon

  • Frischling
  • *
  • Beiträge: 15
  • Geschlecht: Männlich
    • assono GmbH
Unser Kunde hat viele Domino-Server (9.0.1FP10).

Sie werden ihr Active Directory in einigen Wochen auf LDAPS umstellen.
Unsere Tests, den Domino-Server über LDAPS mit dem AD zu verbinden, waren nicht erfolgreich.
Ein Update auf Domino V10 oder Domino V11 ist nicht möglich.

Wir haben einen Weg gefunden, OpenLDAP als LDAP-Proxy zwischen Domino V9 und AD zu verwenden:
Domino verbindet sich über LDAP mit OpenLDAP auf demselben Rechner (127.0.0.1), OpenLDAP verbindet sich über LDAPS mit dem AD.

Auf dem Testserver und einigen Produktionsservern funktioniert dieser Ansatz, bei drei Servern jedoch nicht.

Wir haben ein LDAP-Dokument in der Directory Assistance, das sich mit 127.0.0.1:9389 verbindet, wo der OpenLDAP-Server lauscht.
LDAP-Clients wie der von Softerra und ldapsearch (Unix) können sich auf diesem Port mit dem OpenLDAP-Server verbinden, und Anfragen werden beantwortet.

Aber drei Domino-Server können sich nicht mit dem OpenLDAP-Server verbinden:
[07B0:0045-03C4] NAMELookup::<ProcessDeferredNAB> Domains retrieved from DAGetDomainReplicas: names.nsf,*[127.0.0.1]:9389 via Directory Assistance
[07B0:0045-03C4] 13.08.2020 09:53:37,56 <LDAP GW> LDAP server is unavailable ReturnCode=0x0051 (Can't contact LDAP server)
[07B0:0045-03C4] 13.08.2020 09:53:37,56 <LDAP GW> LDAP server is unavailable ReturnCode=0x0051 (Can't contact LDAP server)

Im OpenLDAP-Protokoll (auf Maximum gesetzt) gibt es keine Anzeichen für einen Verbindungsversuch.

Alle drei Domino-Server verfügen über funktionierende LDAP-Dokumente zum Active Directory über LDAP (ohne TLS). Für den Test werden diese Dokumente deaktiviert und die neuen zu OpenLDAP aktiviert.

Alle Verify-Schaltflächen im LDAP-Dokument funktionieren.

Wir haben vorübergehend alle zugehörigen Debug-Einstellungen eingeschaltet.

Wir haben show xdir reload versucht.
Wir haben show xdir debug versucht (ohne Ergebnis).
show xidir zeigt nicht die Zeile für die Verbindung zu OpenLDAP, aber es zeigt die AD-Verbindung über LDAP (ohne TLS).
Die Verbindungen zu OpenLDAP und AD werden nicht gleichzeitig, sondern alternativ aktiviert.

Die Server, auf denen die OpenLDAP-Verbindungen funktionieren, und diejenigen, auf denen das nicht der Fall ist, sind genau gleich konfiguriert (soweit ich das sehen kann).

Hat jemand eine Idee, wie Domino eine Verbindung zu OpenLDAP herstellen kann? Oder zumindest, um mehr Details zu erfahren, warum dies auf einigen Servern nicht funktioniert, auf anderen aber schon?
Oder die ganz große Alternative: Wie kann ich Domino V9 dazu bringen, das AD über LDAPS anzubinden?
« Letzte Änderung: 27.08.20 - 12:41:39 von Deragon »

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Thomas, das acheint irgendwie ein generelles Problem zu sein. Ich hatte eine ähnliche Anfrage. Dort war ein 10. & 11 server im Einsatz.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Deragon

  • Frischling
  • *
  • Beiträge: 15
  • Geschlecht: Männlich
    • assono GmbH
Laut HCL: Wenn das CA-Root-Zertifikat des LDAPS-Servers kein Subject hat, sondern nur SANs, dann geht es nicht mit Domino 9 (11.0.1 solle damit aber umgehen können).

Und - tada - bei diesem Kunden hat das Zertifikat kein Subject. Laut RFC ist das sogar erlaubt ("WHY?").

Also: neues CA-Root-Zertifikat (mit Subject) oder neuer Domino-Server

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz