kaiser-css
Goto Top

Exchange Zugriff intern - Fritzbox DNS Rebind Schutz

Moin!

Wir sind heute ein Problem gestoßen, was wohl schon länger besteht. Ist anscheinend bisher nur nicht aufgefallen.
Wir betreiben einen Server mit Active Directory und Microsoft Exchange. Da es sich hierbei aber anscheinend um ein Problem mit der FritzBox handelt, gehe ich bezüglich der Konfiguration der Server nicht ins Detail.

Der Aufbau ist folgender: FritzBox -> Hardware Firewall -> Server mit AD und Exchange -> Client PCs (LAN) und Smartphones (WLAN)

Portfreigaben für Exchange usw. sind alle korrekt eingepflegt.
Der Zugriff auf den Exchange funktioniert intern mit allen Client PCs über Outlook und OWA. Auch der Zugriff von Extern funktioniert mittels OWA.
Nun zum Problem: Die Smartphones können sich intern nicht mit dem Exchange verbinden. Sobald Sie im WLAN sind, kommt keine Verbindung zustande. Schalten wir das WLAN am Smartphone aus, funktioniert es. Wenn wir auf dem Smartphone unsere OWA Adresse (mail.UNSEREDOMAIN.de) über den Browser öffnen, während wir uns im WLAN befinden, erhielten wir bis eben folgende Fehlermeldung:

Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen. Der Host-Header Ihrer Anfrage stimmt nicht mit dem Namen der FRITZ!-Box überein. Wenn Sie über einen anderen Hostnamen auf die FRITZ!Box zugreifen wolen, ergänzen Sie diesen bitte als Ausnahme in der Benutzeroberfläche Ihrer FRITZ!Box unter "Heimnetz > Netzwerk > Netzwerkeinstellungen" im Bereich "DNS-Rebind-Schutz".  

Ich habe dann unsere OWA Adresse (mail.UNSEREDOMAIN.de) dort eingetragen. Nun ist die Fehlermeldung zwar weg, aber jetzt wird man nur auf die Benutzeroberfläche der Fritzbox weitergeleitet, nicht zum Exchange.
Wie gesagt, das Problem besteht nur bei den Smartphones, die sich im WLAN der Fritzbox befinden. Alle anderen Geräte funktionieren ohne Probleme.

Hat jemand eine Idee, wie ich dieses Problem beheben kann?

Vielen Dank!!!

Content-ID: 4904150203

Url: https://administrator.de/contentid/4904150203

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

Dani
Dani 09.12.2022 um 12:44:28 Uhr
Goto Top
kaiser-css
kaiser-css 09.12.2022 um 12:46:58 Uhr
Goto Top
Danke für die schnelle Antwort.
Ja, das habe ich bereits gemacht. Wie in meinem Post schon beschrieben, wird die OWA Adresse über die WLAN Geräte dadurch dann auf die Fritzbox Benutzeroberfläche geleitet, anstatt auf den Exchange.
NoAiming
NoAiming 09.12.2022 um 14:05:33 Uhr
Goto Top
Hallo kaiser-css,

wer spannt denn das W-LAN auf? Die FritzBox oder die Hardware-Firewall?

Grüße,
kaiser-css
kaiser-css 09.12.2022 um 14:11:54 Uhr
Goto Top
Die Fritzbox
NoAiming
NoAiming 09.12.2022 um 14:28:57 Uhr
Goto Top
Moin,

ich habe das Gefühl, dass die Geräte im W-LAN DNS-technisch an der FritzBox am langen Arm verhungern. Welche IP-Konfiguration bekommt den z.B. ein Notebook das sich in diesem W-LAN befindet?
Wenn man dann an dem Notebook nslookup aufruft und mal eure owa-Adresse aufzulösen versucht, kommt da was Gescheites bei rum?
Ich kann gerade echt nicht mit dem Finger drauf zeigen - vielleicht ist es auch was anderes wie IPv6 im W-LAN - aber mein Bauch sagt mir gerade, dass die Geräte im W-LAN nicht richtig auf den Zug der Portweiterleitung aufspringen können.

Sorry, dass ich so wage formuliere - aber vielleicht hilft der Gedanke zum Grübeln ja weiter.

Grüße,
mmw2000
mmw2000 10.12.2022 um 11:44:10 Uhr
Goto Top
Moin,

wer macht DNS, Dhcp?
Wie schauen die DNS weiterleitungen aus?
Bei mir schaut die Fritte auf den DC und fragt diesen an. Der DC dann den Provider DNS, oder sonst was öffentliches.

Grüsse
Dani
Dani 12.12.2022 aktualisiert um 22:44:23 Uhr
Goto Top
Moin,
Ja, das habe ich bereits gemacht. Wie in meinem Post schon beschrieben, wird die OWA Adresse über die WLAN Geräte dadurch dann auf die Fritzbox Benutzeroberfläche geleitet, anstatt auf den Exchange.
ist owa.domain.de wirklich der Hostnamen des Exchange Servers oder handelt es sich um einen CNAME-Eintrag auf server01.domain.de? Wenn es ein CNAME Eintrag, würde ich sicherheitshalber auch den FQDN des Servers eintragen.

Ich habe gerade noch diesen Artikel gefunden: DNS-Auflösung privater IP-Adressen nicht möglich. Dort schreibt AVM folgenden Hinweis:
Jetzt werden DNS-Anfragen für Domainnamen, die in der Liste der Ausnahmen enthalten sind, auch dann beantwortet, wenn die DNS-Antwort auf eine IP-Adresse im FRITZ!Box-Heimnetz verweist.
Das würde bedeuten, dass sich die Fritzbox richtig verhält.


Gruß,
Dani
interface31
interface31 18.12.2022 um 11:42:13 Uhr
Goto Top
Hatte das gleiche Prob, reboot der Box hilft oder VPN verwenden und aufrufen ist zwar auch nicht toll aber als kurze Lösung vielleicht umsetzbar.