Seiteneffekt: Verwendung eines abweichenden FQDN bei LDAP-Abfragen gegen Domain Controller scheitert

Anfang Februar wurden eine Sicherheitslücke in Microsoft Exchange publiziert und AD-Hoc Maßnahmen veröffentlicht. Unter  anderem empfahl Microsoft den Registrierungsschlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck

auf allen Domain Controllern zu löschen. Die Lücke ist mittlerweile geschlossen.

Das Löschen des angegebenen Schlüssels hat – falls der Wert des Eintrags auf 1 stand – einen Seiteneffekt: LDAP(s) Abfragen gegen Domain Controller mit abweichenden FQDNs in den Abfragen, werden von Domain Controllern nicht mehr beantwortet.

Ein Device – z.B. eine Firewall – benötigt eine LDAP(s)-Verbindung, um z.B. Active Directory Benutzerkonten durch eine LDAP(s)Abfrage zu ermitteln.

Nehmen wir an, es stehen  zwei Domain Controller für die Active Directory Domain myDom.local zur Verfügung. DC01.mydom.local hat die IP-Adresse 10.0.5.11 und DC02-myDom.local hat die IP-Adresse 10.0.5.12. Die Konfigurationsschnittstelle des Device lässt aber nicht zu, zwei DCs einzutragen. Somit würde bei Ausfall des eingetragen Domain Controllers, das AD nicht mehr abgefragt werden können.

Man hilft sich dann so, um Ausfallsicherheit zu gewährleisten:

Es werden zwei  DNS Hosteinträge erstellt:

  • DC.myDom.local -> 10.0.5.11
  • DC.myDom.local -> 10.0.5.12

Die LDAP-Abfrage  wird dann entsprechend mit :

  • LDAP://dc.mydom.local/…

oder

  • LDAPS://dc.mydom.local:636/…

konfiguriert.

Damit die Domain Controller Verbindungen über diesen FQDN akzeptieren, muss der Eintrag

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbackCheck

in Registry der Domain Controller mit dem Wert „1“ gesetzt sein.

Sollte der genannte Schlüssel im Rahmen der AD-Hoc Maßnahmen gelöscht worden sein, muss er wieder erstellt werden, damit die Domain Controller bei LDAP(s)-Abfragen mit abweichenden FQDNs antworten.

Facebook
Twitter
LinkedIn
Pinterest
Email

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen