blackicedbear/dms
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

befhel ladap6

Browse Source
This commit is contained in:
unknown
2026-04-30 05:52:14 -07:00
parent 17af5d8962
commit 0d57f58907
1 changed files with 17 additions and 39 deletions
Download Patch File Download Diff File Expand all files Collapse all files
befehl.txt
+17 -39
View File
@@ -1,49 +1,27 @@
# LDAP Signing komplett deaktivieren
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 0 -Type DWord
# Altes Zertifikat finden und entfernen (falls vorhanden)
Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*byte.trail*" } | Remove-Item -Force
# Channel Binding ebenfalls deaktivieren (falls aktiv)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LdapEnforceChannelBinding" -Value 0 -Type DWord
# NTDS neu starten
Restart-Service NTDS -Force
# Optional: GPO-Refresh erzwingen falls eine Policy das ueberschreibt
gpupdate /force
# 1. Pruefen ob der Registry-Wert tatsaechlich gesetzt ist
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" | Select-Object LDAPServerIntegrity, LdapEnforceChannelBinding
# 2. Effektive GPO-Einstellung pruefen
gpresult /r /scope:computer | Select-String -Pattern "LDAP|ldap"
# 3. Oder: Die lokale Security Policy direkt aendern
# secpol.msc -> Local Policies -> Security Options ->
# "Domain controller: LDAP server signing requirements" -> "None"
# 4. Nach GPO-Aenderung:
gpupdate /force
Restart-Service NTDS -Force
# Selbst-signiertes Zertifikat fuer LDAPS erstellen
# Neues Zertifikat mit korrekten Einstellungen fuer AD LDAPS
$cert = New-SelfSignedCertificate `
-Subject "CN=SRV-DC01.byte.trail" `
-DnsName "SRV-DC01.byte.trail","byte.trail","10.10.10.10" `
-CertStoreLocation "Cert:\LocalMachine\My" `
-KeySpec KeyExchange `
-KeyAlgorithm RSA `
-KeyLength 2048 `
-KeyExportPolicy Exportable `
-NotAfter (Get-Date).AddYears(10) `
-Provider "Microsoft RSA SChannel Cryptographic Provider"
-Provider "Microsoft RSA SChannel Cryptographic Provider" `
-KeyUsage DigitalSignature, KeyEncipherment `
-TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")
# AD erkennt Zertifikate im Personal Store automatisch und aktiviert LDAPS (Port 636)
# NTDS neu starten - nimmt das Zertifikat automatisch auf
Restart-Service NTDS -Force
Start-Sleep -Seconds 5
# Pruefen ob Port 636 jetzt lauscht:
Test-NetConnection -ComputerName localhost -Port 636
# Pruefen ob LDAPS jetzt funktioniert
$tcp = New-Object System.Net.Sockets.TcpClient
$tcp.Connect("localhost", 636)
$ssl = New-Object System.Net.Security.SslStream($tcp.GetStream(), $false, {$true})
$ssl.AuthenticateAsClient("SRV-DC01.byte.trail")
Write-Host "LDAPS funktioniert! Zertifikat: $($ssl.RemoteCertificate.Subject)" -ForegroundColor Green
$ssl.Close(); $tcp.Close()