timo0o
Apr 29, 2020, updated at 07:42:23 (UTC)
view3451
view17
0
Goto Top

Externe Webseite identisch mit interner Domäne, Webseitenzugriff nicht mehr möglich

GermansolvedQuestionWindows NetworkMicrosoft
Moin moin liebe Admins,

folgendes Problem... ein Kunde hat als internen Domainnamen "domain.net" wegen RDWEB und Exchange mit öffentlichen Zertifikaten usw.

Die Webseite ist über "https://domain.net" aufrufbar. Nun besteht damit natürlich das Problem, dass intern die Webseite nicht mehr aufgerufen werden kann, da "domain.net" auf den DC zeigt...
Extern funktioniert logischerweise alles.

Wie kann man das Problem lösen?
Gibt es eine Art https:// redirect, den man auf dem DC einrichten kann, damit https-Anfragen auf die externe Webseite umgeleitet werden?

Den internen DNS Namen "domain.net" kann ich ja schlecht auf die Webseiten-IP ändern, damit wäre die AD ja dann nicht mehr funktionsfähig...

Leider stellt sich der Provider quer und will die Webseite nicht auf "www.domain.net" ändern, wegen Google Rankings usw... Sonst hätte ich ja einfach einen www.-DNS Eintrag mit der Webseiten-IP einrichten können und wäre in 5 Min fertig...

Hat da jemand einen Tipp für mich wie man das lösen könnte?

Timo
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 568400

Url: https://administrator.de/contentid/568400

Printed on: April 19, 2024 at 07:04 o'clock

17 Comments
Latest comment
Goto Top
Member: emeriks
Solution emeriks Apr 29, 2020 at 07:51:42 (UTC)
Goto Top
Hi,
wenn der Webseiten-Aufruf von intern direkt über den Domänennamen gehen soll statt über Hostnamen, dann hast Du schlechte Karten.
Du könntest intern einen Web-Proxy aufsetzen und festlegen, dass der Internetzugriff über den Proxy zu erfolgen hat. Auf dem Proxy könntest Du das jetzt steuern, indem Du den Proxy nicht den internen DNS-Server verwenden lässt, sondern nur den externen.

E.
Member: Kraemer
Kraemer Apr 29, 2020 at 09:28:35 (UTC)
Goto Top
Moin,

ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen. Widerspricht war der Regel ein DC ist ein DC - sollte aber funktionieren.
Member: emeriks
emeriks Apr 29, 2020 at 09:34:51 (UTC)
Goto Top
Zitat von @Kraemer:
ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen.
Das müsstest Du dann aber auf allen DC/DNS der Domäne machen!
Member: marc-1303
marc-1303 Apr 29, 2020 at 09:37:23 (UTC)
Goto Top
Hallo Timo

Wir hatten bei uns dasselbe Problem. Das lässt sich ganz einfach mit einem Host(A) Eintrag im internen DNS lösen.
Trage im Forward Lookup einen Host(A) ein. www zeigt auf (hoffentlich fixe) IP des externen Webservers.
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.

Grüsse
Marc
Member: Dani
Dani Apr 29, 2020 at 09:44:01 (UTC)
Goto Top
Moin,
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.
sehe ich ebenfall so.


Gruß,
Dani
Member: emeriks
emeriks Apr 29, 2020 at 09:52:41 (UTC)
Goto Top
Zitat von @marc-1303:
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.
Diese Frage hat ja TO leider noch nicht beantwortet.
Member: Timo0o
Timo0o Apr 29, 2020 updated at 10:26:12 (UTC)
Goto Top
Das mit der DNS Weiterleitung als A-Record im internen DNS auf www. geht leider wie in meinem Anfangsbeitrag geschrieben nicht.
Die www.domain.net leitet direkt auf domain.net um, zwar kann www.domain.net aufgelöst werden, aber durch die Umleitung landet man "IP-Mäßig" immer wieder bei dem DC weil die Seite unter "domain.net" neu aufgelöst und geladen wird.


Das mit dem Reverse-Proxy hatte ich auch schon überlegt. Und da der Kunde ein Kleinbetrieb ist und nur einen DC / DNS Server hat, wäre das sicherlich auch nicht die Welt wenn das geht.
Wenn die Seite dann intern mit www.domain.net oder was auch immer aufgerufen wird und dann nach extern auf "domain.net" umgeleitet werden kann, wäre das ja die Lösung. Ich weiß aber nicht wie das gehen soll da "domain.net" ja auf den DC zeigt und www. nicht geht wegen der Umleitung

Leider habe ich einen solchen Proxy noch nicht aufgesetzt, gibt es da irgendwelche Anleitungen die das Thema behandeln?
Member: Kraemer
Kraemer Apr 29, 2020 at 10:44:14 (UTC)
Goto Top
Zitat von @emeriks:

Zitat von @Kraemer:
ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen.
Das müsstest Du dann aber auf allen DC/DNS der Domäne machen!
versteht sich von selbst face-wink
Member: emeriks
emeriks Apr 29, 2020 at 11:00:15 (UTC)
Goto Top
Zitat von @Kraemer:
versteht sich von selbst face-wink
Das ist aber keine sinnvolle Lösung. Besser wäre, einen "normalen" Proxy aufzusetzen. Auf irgendeinem Computer.
Member: Timo0o
Timo0o Apr 29, 2020 at 12:41:23 (UTC)
Goto Top
Wir haben da eine Sophos Firewall die Proxy sein könnte... vielleicht kann man damit was basteln...
Member: Matsushita
Matsushita Apr 29, 2020 at 17:36:44 (UTC)
Goto Top
Broken by design. Es wurde ein schwerwiegender Implementierungsfehler gemacht. Jetzt hat der Kunde ein Split Brain-Problem. Natürlich könnte man das mit DNS pfuschen, möchte aber zu bedenken geben: DNS sollte dynamisch und nicht statisch sein. Jedes statische Element in DNS ist zusätzlicher Aufwand. Außerdem ist es sehr wahrscheinlich, dass die Auflösung der Website nur der Beginn sein wird: Mit neuen Anforderungen werden immer neue Probleme hinzukommen.

Nicht. Gut. Der Kunde sollte in eine nach best pracises erstellte AD-Domäne migrieren.
Member: emeriks
emeriks Apr 29, 2020 at 18:06:01 (UTC)
Goto Top
Zitat von @Matsushita:
Broken by design. Es wurde ein schwerwiegender Implementierungsfehler gemacht. Jetzt hat der Kunde ein Split Brain-Problem.
Sowas wird oft genug auch ganz bewusst so gemacht und stellt - richtig implementiert - kein Problem dar. Im o.g. Fall wurde nur zu kurz gedacht.
Natürlich könnte man das mit DNS pfuschen
Warum soll sowas Pfusch sein?
möchte aber zu bedenken geben: DNS sollte dynamisch und nicht statisch sein.
So pauschal gesagt ist das natürlich auch Käse. Es kann z.B. und vor allem sicherheitstechnische Gründe haben, ein absolut statisches DNS zu haben.
Jedes statische Element in DNS ist zusätzlicher Aufwand.
Am Rande bemerkt: Dynamische Aktualisierungen im DNS wurden erst später erfunden und implementiert.
Außerdem ist es sehr wahrscheinlich, dass die Auflösung der Website nur der Beginn sein wird: Mit neuen Anforderungen werden immer neue Probleme hinzukommen.
Genau das ist mit dem von mir o.g. "richtig implementiert" gemeint. Man muss die Anforderungen in vollem Umfang klar definieren und dann erst umsetzen.
Nicht. Gut. Der Kunde sollte in eine nach best pracises erstellte AD-Domäne migrieren.
Frag 10 Fachleute und Du bekommst 12 Meinungen, was die "best pracises" denn sind.
Member: Matsushita
Matsushita Apr 29, 2020 at 18:12:33 (UTC)
Goto Top
Es gibt in dem Fall keine zwei Meinungen. Eine TLD als AD-Domäne ist ein absolutes Nogo. Best practices von Microsoft dazu sind auch völlig klar: Die AD Domäne ist eine untergeordnete Subdomäne der korespondierenden öffentlichen DNS Domäne. Das wir solche Dinge oft sehen hat andere Gründe: In vielen KMU wird einfach der zum Admin erklärt, der eine Palystation einschalten kann. Und der klickt sich dann "yes express" durch Wizzards. Boom.
Member: emeriks
emeriks Apr 30, 2020 at 07:56:18 (UTC)
Goto Top
Zitat von @Matsushita:
Das wir solche Dinge oft sehen hat andere Gründe: In vielen KMU wird einfach der zum Admin erklärt, der eine Palystation einschalten kann. Und der klickt sich dann "yes express" durch Wizzards. Boom.
Hast Du so angefangen? face-wink
Member: Matsushita
Matsushita Apr 30, 2020 at 08:47:53 (UTC)
Goto Top
Nein, ich räume seit über 20 Jahren solchen "Admins" hinterher.
Member: emeriks
emeriks Apr 30, 2020 updated at 09:01:25 (UTC)
Goto Top
Zitat von @Matsushita:
Nein, ich räume seit über 20 Jahren solchen "Admins" hinterher.
Na dann sei doch froh. Haste immer was zu tun. face-wink

Am Rande:
Eine TLD als AD-Domäne ist ein absolutes Nogo.
Das ist hier nicht der Fall. Wenn schon korrekt, dann korrekt.
Member: Timo0o
Timo0o Apr 30, 2020 at 10:06:32 (UTC)
Goto Top
Also. Ich habe es jetzt mit der Sophos Firewall des Kunden und der entsprechenden Proxy Konfiguration im Webfilter hinbekommen.

Nun läuft alles so, wie es soll. Und am internen DNS wurde nichts rumgepfuscht.

Danke allen, für die hilfreichen Antworten.
GermansolvedQuestionWindows NetworkMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentgleixnerdCheck of ZFW Firewallgleixnerd