timo0o
Goto Top

Externe Webseite identisch mit interner Domäne, Webseitenzugriff nicht mehr möglich

Moin moin liebe Admins,

folgendes Problem... ein Kunde hat als internen Domainnamen "domain.net" wegen RDWEB und Exchange mit öffentlichen Zertifikaten usw.

Die Webseite ist über "https://domain.net" aufrufbar. Nun besteht damit natürlich das Problem, dass intern die Webseite nicht mehr aufgerufen werden kann, da "domain.net" auf den DC zeigt...
Extern funktioniert logischerweise alles.

Wie kann man das Problem lösen?
Gibt es eine Art https:// redirect, den man auf dem DC einrichten kann, damit https-Anfragen auf die externe Webseite umgeleitet werden?

Den internen DNS Namen "domain.net" kann ich ja schlecht auf die Webseiten-IP ändern, damit wäre die AD ja dann nicht mehr funktionsfähig...

Leider stellt sich der Provider quer und will die Webseite nicht auf "www.domain.net" ändern, wegen Google Rankings usw... Sonst hätte ich ja einfach einen www.-DNS Eintrag mit der Webseiten-IP einrichten können und wäre in 5 Min fertig...

Hat da jemand einen Tipp für mich wie man das lösen könnte?

Timo

Content-ID: 568400

Url: https://administrator.de/forum/externe-webseite-identisch-mit-interner-domaene-webseitenzugriff-nicht-mehr-moeglich-568400.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

emeriks
Lösung emeriks 29.04.2020 um 09:51:42 Uhr
Goto Top
Hi,
wenn der Webseiten-Aufruf von intern direkt über den Domänennamen gehen soll statt über Hostnamen, dann hast Du schlechte Karten.
Du könntest intern einen Web-Proxy aufsetzen und festlegen, dass der Internetzugriff über den Proxy zu erfolgen hat. Auf dem Proxy könntest Du das jetzt steuern, indem Du den Proxy nicht den internen DNS-Server verwenden lässt, sondern nur den externen.

E.
Kraemer
Kraemer 29.04.2020 um 11:28:35 Uhr
Goto Top
Moin,

ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen. Widerspricht war der Regel ein DC ist ein DC - sollte aber funktionieren.
emeriks
emeriks 29.04.2020 um 11:34:51 Uhr
Goto Top
Zitat von @Kraemer:
ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen.
Das müsstest Du dann aber auf allen DC/DNS der Domäne machen!
marc-1303
marc-1303 29.04.2020 um 11:37:23 Uhr
Goto Top
Hallo Timo

Wir hatten bei uns dasselbe Problem. Das lässt sich ganz einfach mit einem Host(A) Eintrag im internen DNS lösen.
Trage im Forward Lookup einen Host(A) ein. www zeigt auf (hoffentlich fixe) IP des externen Webservers.
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.

Grüsse
Marc
Dani
Dani 29.04.2020 um 11:44:01 Uhr
Goto Top
Moin,
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.
sehe ich ebenfall so.


Gruß,
Dani
emeriks
emeriks 29.04.2020 um 11:52:41 Uhr
Goto Top
Zitat von @marc-1303:
Die Website ist dann zwar nur mit www.website.tld erreichbar, das ist aber ein zu vernachlässigendes Problem.
Diese Frage hat ja TO leider noch nicht beantwortet.
Timo0o
Timo0o 29.04.2020 aktualisiert um 12:26:12 Uhr
Goto Top
Das mit der DNS Weiterleitung als A-Record im internen DNS auf www. geht leider wie in meinem Anfangsbeitrag geschrieben nicht.
Die www.domain.net leitet direkt auf domain.net um, zwar kann www.domain.net aufgelöst werden, aber durch die Umleitung landet man "IP-Mäßig" immer wieder bei dem DC weil die Seite unter "domain.net" neu aufgelöst und geladen wird.


Das mit dem Reverse-Proxy hatte ich auch schon überlegt. Und da der Kunde ein Kleinbetrieb ist und nur einen DC / DNS Server hat, wäre das sicherlich auch nicht die Welt wenn das geht.
Wenn die Seite dann intern mit www.domain.net oder was auch immer aufgerufen wird und dann nach extern auf "domain.net" umgeleitet werden kann, wäre das ja die Lösung. Ich weiß aber nicht wie das gehen soll da "domain.net" ja auf den DC zeigt und www. nicht geht wegen der Umleitung

Leider habe ich einen solchen Proxy noch nicht aufgesetzt, gibt es da irgendwelche Anleitungen die das Thema behandeln?
Kraemer
Kraemer 29.04.2020 um 12:44:14 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Kraemer:
ich habe das zwar noch nicht gemacht aber auf dem DC könnte man einfach einen Reverseproxy aufsetzen.
Das müsstest Du dann aber auf allen DC/DNS der Domäne machen!
versteht sich von selbst face-wink
emeriks
emeriks 29.04.2020 um 13:00:15 Uhr
Goto Top
Zitat von @Kraemer:
versteht sich von selbst face-wink
Das ist aber keine sinnvolle Lösung. Besser wäre, einen "normalen" Proxy aufzusetzen. Auf irgendeinem Computer.
Timo0o
Timo0o 29.04.2020 um 14:41:23 Uhr
Goto Top
Wir haben da eine Sophos Firewall die Proxy sein könnte... vielleicht kann man damit was basteln...
Matsushita
Matsushita 29.04.2020 um 19:36:44 Uhr
Goto Top
Broken by design. Es wurde ein schwerwiegender Implementierungsfehler gemacht. Jetzt hat der Kunde ein Split Brain-Problem. Natürlich könnte man das mit DNS pfuschen, möchte aber zu bedenken geben: DNS sollte dynamisch und nicht statisch sein. Jedes statische Element in DNS ist zusätzlicher Aufwand. Außerdem ist es sehr wahrscheinlich, dass die Auflösung der Website nur der Beginn sein wird: Mit neuen Anforderungen werden immer neue Probleme hinzukommen.

Nicht. Gut. Der Kunde sollte in eine nach best pracises erstellte AD-Domäne migrieren.
emeriks
emeriks 29.04.2020 um 20:06:01 Uhr
Goto Top
Zitat von @Matsushita:
Broken by design. Es wurde ein schwerwiegender Implementierungsfehler gemacht. Jetzt hat der Kunde ein Split Brain-Problem.
Sowas wird oft genug auch ganz bewusst so gemacht und stellt - richtig implementiert - kein Problem dar. Im o.g. Fall wurde nur zu kurz gedacht.
Natürlich könnte man das mit DNS pfuschen
Warum soll sowas Pfusch sein?
möchte aber zu bedenken geben: DNS sollte dynamisch und nicht statisch sein.
So pauschal gesagt ist das natürlich auch Käse. Es kann z.B. und vor allem sicherheitstechnische Gründe haben, ein absolut statisches DNS zu haben.
Jedes statische Element in DNS ist zusätzlicher Aufwand.
Am Rande bemerkt: Dynamische Aktualisierungen im DNS wurden erst später erfunden und implementiert.
Außerdem ist es sehr wahrscheinlich, dass die Auflösung der Website nur der Beginn sein wird: Mit neuen Anforderungen werden immer neue Probleme hinzukommen.
Genau das ist mit dem von mir o.g. "richtig implementiert" gemeint. Man muss die Anforderungen in vollem Umfang klar definieren und dann erst umsetzen.
Nicht. Gut. Der Kunde sollte in eine nach best pracises erstellte AD-Domäne migrieren.
Frag 10 Fachleute und Du bekommst 12 Meinungen, was die "best pracises" denn sind.
Matsushita
Matsushita 29.04.2020 um 20:12:33 Uhr
Goto Top
Es gibt in dem Fall keine zwei Meinungen. Eine TLD als AD-Domäne ist ein absolutes Nogo. Best practices von Microsoft dazu sind auch völlig klar: Die AD Domäne ist eine untergeordnete Subdomäne der korespondierenden öffentlichen DNS Domäne. Das wir solche Dinge oft sehen hat andere Gründe: In vielen KMU wird einfach der zum Admin erklärt, der eine Palystation einschalten kann. Und der klickt sich dann "yes express" durch Wizzards. Boom.
emeriks
emeriks 30.04.2020 um 09:56:18 Uhr
Goto Top
Zitat von @Matsushita:
Das wir solche Dinge oft sehen hat andere Gründe: In vielen KMU wird einfach der zum Admin erklärt, der eine Palystation einschalten kann. Und der klickt sich dann "yes express" durch Wizzards. Boom.
Hast Du so angefangen? face-wink
Matsushita
Matsushita 30.04.2020 um 10:47:53 Uhr
Goto Top
Nein, ich räume seit über 20 Jahren solchen "Admins" hinterher.
emeriks
emeriks 30.04.2020 aktualisiert um 11:01:25 Uhr
Goto Top
Zitat von @Matsushita:
Nein, ich räume seit über 20 Jahren solchen "Admins" hinterher.
Na dann sei doch froh. Haste immer was zu tun. face-wink

Am Rande:
Eine TLD als AD-Domäne ist ein absolutes Nogo.
Das ist hier nicht der Fall. Wenn schon korrekt, dann korrekt.
Timo0o
Timo0o 30.04.2020 um 12:06:32 Uhr
Goto Top
Also. Ich habe es jetzt mit der Sophos Firewall des Kunden und der entsprechenden Proxy Konfiguration im Webfilter hinbekommen.

Nun läuft alles so, wie es soll. Und am internen DNS wurde nichts rumgepfuscht.

Danke allen, für die hilfreichen Antworten.