candor
Goto Top

Falsche Weiterleitung einer Domain an internes Ziel

Moin,

Zunächst hoffe ich einmal, dass es keinen Beitrag zu diesem Thema gibt, die Suchfunktion vermochte mir zumindest Keinen zu zeigen.

Mein Problem ist wie folgt:
In unserer Domäne können die zwei betriebenen Windows Terminal Server (ab hier einfach WTS1 und WTS2) nicht auf eine Webseite zugreifen.
Dabei können User die einfache Webseite (Beispielhaft "haufe.com") aufrufen, mit einer bestimmten Subdomain allerdings nicht. (Beispielhaft "myaccount.haufe.com")
Über die Terminalserver kommt die Sicherheitswarnung eines ungültigen Zertifikates. Beim betreten der zu erreichenden Adresse kommt die klassische "Windows Server Internet Information Service"-Seite. Das Zertifikat wird wiederum einem alten Terminalserver zugeordnet, der seit etwa 5 Jahren nicht mehr existiert.
Andere Rechner im selben Netzwerk können auf die Seite problemlos zugreifen.
DNS ist für die Server so wie die Rechner identisch.
Im DNS-Server gibt es für keine Zone einen verdächtigen Eintrag.
Über nslookup auf den Terminalservern wird die Webseite mit Subdomain korrekt aufgelöst.

Vor allem würde mich zunächst einmal interessieren, wo genau ich hingeleitet werde.

Ich bedanke mich im Voraus,
Candor

Content-ID: 1968197729

Url: https://administrator.de/forum/falsche-weiterleitung-einer-domain-an-internes-ziel-1968197729.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

radiogugu
radiogugu 21.02.2022 um 10:50:53 Uhr
Goto Top
Moin.

Zur Klarstellung: Es gibt eine Active Directory Domäne mit dem Namen firma.de und es soll nun die Website www.firma.de bzw. eine Subdomain davon aufgerufen werden?

Das Ziel der Subdomain liegt im lokalen Netzwerk oder im Internetz?

Mal einen ipconfig /flushdns auf einem der beiden WTS gemacht und dann noch einmal getestet?

Gibt es einen oder mehrere DNS Server im Netzwerk? Sind das alles Domänen-Controller?

Gruß
Marc
Candor
Candor 21.02.2022 aktualisiert um 11:43:39 Uhr
Goto Top
Hey @radiogugu,

Die Domain, die nicht aufgerufen werden kann ist eine öffentliche, im Internet zugängliche Webseite. Habe hier bloß mit Beispielen gearbeitet.
Die eigentliche Adresse liegt somit im Internet, wird aber irgendwie nach Intern (die Frage ist wohin genau) weitergeleitet.

Flushdns habe ich schon durch.
2 DC's, beide DNS Server. Habe schon beide einmal abgeschaltet und neu gestartet, sowie einzeln betrieben. Gleicher Fehler.
em-pie
em-pie 21.02.2022 um 12:11:24 Uhr
Goto Top
Moin,

@Candor
also so richtig werde ich aus deiner Beschreibung nicht schlau, und @radiogugu offensichtlich ebenfalls nicht...
Habe hier bloß mit Beispielen gearbeitet.
Ich finde aber keine Beispiele!

ich versuche mal, dir die Infos mit der Pinzette aus der Nse zu ziehen:
  • Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
  • Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
  • Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
  • Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
  • Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
  • Ihr habt nur den Windows-Defender überall als AV-Lösung installiert.
  • Euer zentraler Router ist eine Fritzbox, sodass du dort keine Livelogs einsehen kannst.

Gruß
em-pie
BirdyB
BirdyB 21.02.2022 um 12:40:24 Uhr
Goto Top
Moin,

hast du mal die hosts-Datei überprüft?

VG
radiogugu
radiogugu 21.02.2022 um 13:44:45 Uhr
Goto Top
Zitat von @BirdyB:
hast du mal die hosts-Datei überprüft?

Es wäre schön, wenn es so einfach wäre face-smile

Gruß
Marc
BirdyB
BirdyB 21.02.2022 um 15:12:37 Uhr
Goto Top
Manchmal sind es die kleinen Dinge…
Ansonsten müsste man den Aufruf mal mit Wireshark tracen und schauen, was da passiert…
Candor
Candor 21.02.2022 aktualisiert um 15:50:20 Uhr
Goto Top
@em-pie Schande über mich. Habe beim schreiben des Beitrages, die Beispiele vergessen. ;(

* Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
Ja
* Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
Ja
* Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
Ja
* Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
Nein. Das ist der Casus Knacksus. Es funktioniert wirklich jede Webseite bis auf diese Eine.
* Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
Ja
* Ihr habt nur den Windows-Defender überall als AV-Lösung installiert.
Ja
* Euer zentraler Router ist eine Fritzbox, sodass du dort keine Livelogs einsehen kannst.
Nein. Wir haben eine aktuell eine Pfsense im Einsatz. Aber die Logs zeigen keine sonderlichen Auffälligkeiten.
Dazu sei gesagt, dass ich nicht vollständig in der Materie bin und es mir sicherlich hilft, wenn mir jemand sagen kann wo ich nach was suchen sollte.

Und Ergänzend an @BirdyB
* hast du mal die hosts-Datei überprüft?
War meine erste Aktion ;)
Candor
Lösung Candor 21.02.2022 um 16:15:54 Uhr
Goto Top
Habe mich dem Vorschlag von BirdyB unterworfen und das ganze mit Wireshark verfolgt.
Werde tatsächlich zum Local-Host weitergeleitet. Warum das Zertifikat den anderen Server angibt ist mir weiterhin schleierhaft.

Die Weiterleitung zum Local-Host hat mich stutzig gemacht und ich habe mir die Host-Datei ein weiteres mal vorgenommen. Mir ist aufgefallen, dass diese im 5-Minuten Takt geändert wird.
Das war mir dann zu regelmäßig und siehe da: Es gab (warum auch immer) eine GPO die die Host-Datei editiert hat.
Welcher ehemalige Kollege sich das ausgedacht hat und warum, ist hier keinem klar.

Ich bedanke mich dennoch für die zahlreichen und schnellen Antworten ;)
em-pie
em-pie 21.02.2022 um 16:16:13 Uhr
Goto Top
Zitat von @Candor:

  • Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
Ja

  • Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
Ja

  • Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
Ja

  • Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
Nein. Das ist der Casus Knacksus. Es funktioniert wirklich jede Webseite bis auf diese Eine.
Das meinte ich auch, da du keine Beispiele nanntest, hab ich google genutzt, als Beispiel.

  • Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
Ja
Ergo können die überall anders myaccount.haufe.com aufrufen?

Was gibt ein nslookup myaccount.haufe.com konkret zurück. Bitte die Ausgabe entsprechend posten, aber nur insofern anonymisiert, das alles, was eure Firma beinhaltet anonymisiert wird. IP-Adressen sollten kein Problem darstellen, helfen sie sogar.