SourceOne Email Management: Abfragen an Microsoft LDAP-Server schlagen fehl, nachdem die Sicherheitshärtung LDAP-Bindungen im Klartext verhindert

Abfragen an Microsoft LDAP-Server können fehlschlagen, wenn die Sicherheitsverstärkung Klartext-LDAP-Bindungen verhindert. Dies kann sich auf die Definition einer neuen Aktivität oder auf vorhandene Aktivitäten auswirken, die nicht sichere LDAP-Authentifizierungsmethoden verwenden.  

Beispiel 1: Es ist nicht möglich, eine neue Aktivität mit LDAP zu definieren:
Während der Einrichtung einer Aktivität; Beim Testen einer LDAP-Abfrage auf der Konfigurationsseite Datenquellen auswählen wird nach dem Drücken der Schaltfläche "Ausführen" Folgendes angezeigt:

Verbindend...
Verbunden.
LDAP-Abfrage kann hier>
abgefragt <werden LDAP-Abfrage fehlgeschlagen

Hinweis: Dieser Fehler ist ein allgemeiner Fehler und kann auch darauf hinweisen, dass die Abfrage fehlgeschlagen ist, weil die Abfragesyntax ungültig ist und nicht auf ein Authentifizierungsproblem zurückzuführen ist.

Wenn die Abfrage fehlschlägt, zeichnet der ExMMCAdmin.dll.log auch den folgenden Fehler auf, der auf einen Authentifizierungsfehler hinweist:
CoExLDAPClient::TestConnection|FEHLER|Starke Authentifizierung erforderlich Systemaufruf fehlgeschlagen. (0x86040100)|CoExLDAPClient.cpp(256)


Beispiel 2: Vorhandene Aktivitäten können nicht ausgeführt werden
Aktivitäten können wiederkehrende Jobs erzeugen, die zu einem festgelegten Zeitpunkt ausgeführt werden. Wenn er ausgeführt wird, schlägt der zugehörige JBS-Job fehl. Vor der Sicherheitshärtung sind sowohl der JBS- als auch der JBC-Job erfolgreich.  

Beispiel: Ein Job vom Typ "Archiv Historical" kann nicht ausgeführt werden. Das zugehörige ExArchiveJBS.exe.log protokolliert nach jedem Ausfall die folgenden Fehler:

CoExDirObjLookup::ExecuteLDAPSearch|FEHLER|Die folgende LDAP-Abfrage ist fehlgeschlagen: <LDAP-Abfrage hier>. (0x86041806)|CoExDirObjLookup_LDAP.cpp(1324)
CExJBSMailbox::Ausführen|FEHLER PROTOKOLLIERT |Die folgende LDAP-Abfrage ist fehlgeschlagen: <LDAP-Abfrage hier>. (0x86041806) [ExArchiveJBS.exe, CoExDirObjLookup_LDAP.cpp(1324). CoExDirObjLookup::ExecuteLDAPSearch] |CExJBSMailbox.cpp(370)

Da die ExArchiveJBS.exe nicht abgeschlossen wurde, wurden keine Jobs mit einer Aufgabe vom Typ "JBC archivieren" erzeugt. Dies hat zur Folge, dass Postfächer nicht verarbeitet werden. 

 

Dieses Problem kann auftreten, wenn der Zugriff auf Active Directory über LDAP verstärkt wurde und keine ungesicherte Verbindung mehr unterstützt. Durch die Durchsetzung der LDAP-Kanalbindung und LDAP-Signatur wird der ungesicherte Zugriff auf LDAP über Port 389 nicht mehr unterstützt.  Weitere Informationen finden Sie unter Microsoft Security Advisory ADV190023. 
Microsoft erklärt: "Am 10. März 2020 und in absehbarer Zukunft werden keine Änderungen an LDAP-Signatur- oder LDAP-Kanalbindungsrichtlinien oder deren Registrierungsäquivalent auf neuen oder vorhandenen Domain-Controllern vorgenommen."
Die Durchsetzung dieser Sicherheitseinstellungen ist optional, einige Administratoren können sich jedoch dafür entscheiden, sichere Verbindungen als Best Practice zu erzwingen. Diese Durchsetzung kann dazu führen, dass unsichere Verbindungen fehlschlagen. 

Aktivitäten können aktualisiert oder so definiert werden, dass Active Directory-Dienstschnittstellen (ADSI) oder LDAP über SSL verwendet werden.

So aktivieren Sie Active Directory Service Interfaces (ADSI):

• Bearbeiten Sie vorhandene Aktivitäten. Wechseln Sie beim Erstellen von Aktivitäten zur Konfigurationsseite "Datenquellen auswählen".
• Aktivieren Sie das Kontrollkästchen Microsoft ADSI verwenden. Wenn das Kontrollkästchen deaktiviert ist, klicken Sie auf die Schaltfläche Bearbeiten und wählen Sie Server unterstützt Microsoft ADSI-Suche aus. 
• Klicken Sie auf OK und das Kontrollkästchen Microsoft ADSI verwenden kann jetzt ausgewählt werden.
• Die Abfrage kann nun über den Abfragedialog und die Schaltfläche Ausführen getestet werden.
• Validieren Sie, dass die Abfrage ausgeführt wird und die erwarteten Ergebnisse zurückgibt.
• Fahren Sie mit dem Konfigurationsassistenten fort, um die Aktualisierung der Aktivität abzuschließen.

So aktivieren Sie LDAP über SSL:
Vor der Konfiguration muss der LDAP-Server über ein vertrauenswürdiges Zertifikat im Windows-Zertifikatspeicher verfügen, das LDAP-over-SSL-Verbindungen zu einem oder mehreren Activity Directory-Servern ermöglicht. 

• Wenn Sie vorhandene Aktivitäten bearbeiten möchten, oder wenn Sie neue Aktivitäten erstellen, rufen Sie die Konfigurationsseite Datenquellen auswählen auf.
• Klicken Sie auf die Schaltfläche Bearbeiten und wählen Sie Server erfordert sichere Verbindung aus. 
• Klicken Sie neben Serverport auf Use Default, wodurch der Port auf 636 aktualisiert wird.  
•   Hinweis: Wenn LDAP über SSL einen nutzerdefinierten Port verwendet, geben Sie die nutzerdefinierte Portnummer ein.
• Klicken Sie auf OK, um die Änderungen an der Serverkonfiguration zu aktualisieren.
• Die Abfrage kann nun über den Abfragedialog und die Schaltfläche Ausführen getestet werden.
• Validieren Sie, dass die Abfrage ausgeführt wird und die erwarteten Ergebnisse zurückgibt.
• Fahren Sie mit dem Konfigurationsassistenten fort, um die Aktualisierung der Aktivität abzuschließen.