9
Falsche Weiterleitung einer Domain an internes Ziel
Moin,
Zunächst hoffe ich einmal, dass es keinen Beitrag zu diesem Thema gibt, die Suchfunktion vermochte mir zumindest Keinen zu zeigen.
Mein Problem ist wie folgt:
In unserer Domäne können die zwei betriebenen Windows Terminal Server (ab hier einfach WTS1 und WTS2) nicht auf eine Webseite zugreifen.
Dabei können User die einfache Webseite (Beispielhaft "haufe.com") aufrufen, mit einer bestimmten Subdomain allerdings nicht. (Beispielhaft "myaccount.haufe.com")
Über die Terminalserver kommt die Sicherheitswarnung eines ungültigen Zertifikates. Beim betreten der zu erreichenden Adresse kommt die klassische "Windows Server Internet Information Service"-Seite. Das Zertifikat wird wiederum einem alten Terminalserver zugeordnet, der seit etwa 5 Jahren nicht mehr existiert.
Andere Rechner im selben Netzwerk können auf die Seite problemlos zugreifen.
DNS ist für die Server so wie die Rechner identisch.
Im DNS-Server gibt es für keine Zone einen verdächtigen Eintrag.
Über nslookup auf den Terminalservern wird die Webseite mit Subdomain korrekt aufgelöst.
Vor allem würde mich zunächst einmal interessieren, wo genau ich hingeleitet werde.
Ich bedanke mich im Voraus,
Candor
Zunächst hoffe ich einmal, dass es keinen Beitrag zu diesem Thema gibt, die Suchfunktion vermochte mir zumindest Keinen zu zeigen.
Mein Problem ist wie folgt:
In unserer Domäne können die zwei betriebenen Windows Terminal Server (ab hier einfach WTS1 und WTS2) nicht auf eine Webseite zugreifen.
Dabei können User die einfache Webseite (Beispielhaft "haufe.com") aufrufen, mit einer bestimmten Subdomain allerdings nicht. (Beispielhaft "myaccount.haufe.com")
Über die Terminalserver kommt die Sicherheitswarnung eines ungültigen Zertifikates. Beim betreten der zu erreichenden Adresse kommt die klassische "Windows Server Internet Information Service"-Seite. Das Zertifikat wird wiederum einem alten Terminalserver zugeordnet, der seit etwa 5 Jahren nicht mehr existiert.
Andere Rechner im selben Netzwerk können auf die Seite problemlos zugreifen.
DNS ist für die Server so wie die Rechner identisch.
Im DNS-Server gibt es für keine Zone einen verdächtigen Eintrag.
Über nslookup auf den Terminalservern wird die Webseite mit Subdomain korrekt aufgelöst.
Vor allem würde mich zunächst einmal interessieren, wo genau ich hingeleitet werde.
Ich bedanke mich im Voraus,
Candor
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1968197729
Url: https://administrator.de/contentid/1968197729
Printed on: April 20, 2024 at 01:04 o'clock
9 Comments
Latest comment
Moin.
Zur Klarstellung: Es gibt eine Active Directory Domäne mit dem Namen firma.de und es soll nun die Website www.firma.de bzw. eine Subdomain davon aufgerufen werden?
Das Ziel der Subdomain liegt im lokalen Netzwerk oder im Internetz?
Mal einen ipconfig /flushdns auf einem der beiden WTS gemacht und dann noch einmal getestet?
Gibt es einen oder mehrere DNS Server im Netzwerk? Sind das alles Domänen-Controller?
Gruß
Marc
Zur Klarstellung: Es gibt eine Active Directory Domäne mit dem Namen firma.de und es soll nun die Website www.firma.de bzw. eine Subdomain davon aufgerufen werden?
Das Ziel der Subdomain liegt im lokalen Netzwerk oder im Internetz?
Mal einen ipconfig /flushdns auf einem der beiden WTS gemacht und dann noch einmal getestet?
Gibt es einen oder mehrere DNS Server im Netzwerk? Sind das alles Domänen-Controller?
Gruß
Marc
Hey @radiogugu,
Die Domain, die nicht aufgerufen werden kann ist eine öffentliche, im Internet zugängliche Webseite. Habe hier bloß mit Beispielen gearbeitet.
Die eigentliche Adresse liegt somit im Internet, wird aber irgendwie nach Intern (die Frage ist wohin genau) weitergeleitet.
Flushdns habe ich schon durch.
2 DC's, beide DNS Server. Habe schon beide einmal abgeschaltet und neu gestartet, sowie einzeln betrieben. Gleicher Fehler.
Die Domain, die nicht aufgerufen werden kann ist eine öffentliche, im Internet zugängliche Webseite. Habe hier bloß mit Beispielen gearbeitet.
Die eigentliche Adresse liegt somit im Internet, wird aber irgendwie nach Intern (die Frage ist wohin genau) weitergeleitet.
Flushdns habe ich schon durch.
2 DC's, beide DNS Server. Habe schon beide einmal abgeschaltet und neu gestartet, sowie einzeln betrieben. Gleicher Fehler.
Moin,
@Candor
also so richtig werde ich aus deiner Beschreibung nicht schlau, und @radiogugu offensichtlich ebenfalls nicht...
ich versuche mal, dir die Infos mit der Pinzette aus der Nse zu ziehen:
Gruß
em-pie
@Candor
also so richtig werde ich aus deiner Beschreibung nicht schlau, und @radiogugu offensichtlich ebenfalls nicht...
Habe hier bloß mit Beispielen gearbeitet.
Ich finde aber keine Beispiele!ich versuche mal, dir die Infos mit der Pinzette aus der Nse zu ziehen:
- Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
- Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
- Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
- Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
- Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
- Ihr habt nur den Windows-Defender überall als AV-Lösung installiert.
- Euer zentraler Router ist eine Fritzbox, sodass du dort keine Livelogs einsehen kannst.
Gruß
em-pie
1
Moin,
hast du mal die hosts-Datei überprüft?
VG
hast du mal die hosts-Datei überprüft?
VG
Es wäre schön, wenn es so einfach wäre
Gruß
Marc
Manchmal sind es die kleinen Dinge…
Ansonsten müsste man den Aufruf mal mit Wireshark tracen und schauen, was da passiert…
Ansonsten müsste man den Aufruf mal mit Wireshark tracen und schauen, was da passiert…
@em-pie Schande über mich. Habe beim schreiben des Beitrages, die Beispiele vergessen. ;(
Dazu sei gesagt, dass ich nicht vollständig in der Materie bin und es mir sicherlich hilft, wenn mir jemand sagen kann wo ich nach was suchen sollte.
Und Ergänzend an @BirdyB
* Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
Ja* Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
Ja* Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
Ja* Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
Nein. Das ist der Casus Knacksus. Es funktioniert wirklich jede Webseite bis auf diese Eine.* Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
Ja* Ihr habt nur den Windows-Defender überall als AV-Lösung installiert.
Ja* Euer zentraler Router ist eine Fritzbox, sodass du dort keine Livelogs einsehen kannst.
Nein. Wir haben eine aktuell eine Pfsense im Einsatz. Aber die Logs zeigen keine sonderlichen Auffälligkeiten.Dazu sei gesagt, dass ich nicht vollständig in der Materie bin und es mir sicherlich hilft, wenn mir jemand sagen kann wo ich nach was suchen sollte.
Und Ergänzend an @BirdyB
* hast du mal die hosts-Datei überprüft?
War meine erste Aktion ;)
Habe mich dem Vorschlag von BirdyB unterworfen und das ganze mit Wireshark verfolgt.
Werde tatsächlich zum Local-Host weitergeleitet. Warum das Zertifikat den anderen Server angibt ist mir weiterhin schleierhaft.
Die Weiterleitung zum Local-Host hat mich stutzig gemacht und ich habe mir die Host-Datei ein weiteres mal vorgenommen. Mir ist aufgefallen, dass diese im 5-Minuten Takt geändert wird.
Das war mir dann zu regelmäßig und siehe da: Es gab (warum auch immer) eine GPO die die Host-Datei editiert hat.
Welcher ehemalige Kollege sich das ausgedacht hat und warum, ist hier keinem klar.
Ich bedanke mich dennoch für die zahlreichen und schnellen Antworten ;)
Werde tatsächlich zum Local-Host weitergeleitet. Warum das Zertifikat den anderen Server angibt ist mir weiterhin schleierhaft.
Die Weiterleitung zum Local-Host hat mich stutzig gemacht und ich habe mir die Host-Datei ein weiteres mal vorgenommen. Mir ist aufgefallen, dass diese im 5-Minuten Takt geändert wird.
Das war mir dann zu regelmäßig und siehe da: Es gab (warum auch immer) eine GPO die die Host-Datei editiert hat.
Welcher ehemalige Kollege sich das ausgedacht hat und warum, ist hier keinem klar.
Ich bedanke mich dennoch für die zahlreichen und schnellen Antworten ;)
1Zitat von @Candor:
Ja
Ja
Ja
Nein. Das ist der Casus Knacksus. Es funktioniert wirklich jede Webseite bis auf diese Eine.
Das meinte ich auch, da du keine Beispiele nanntest, hab ich google genutzt, als Beispiel.- Die beiden RDS-Hosts (deine Terminalserver) haben eure(n) internen DNS in der NIC hinterlegt.
- Die beiden RDS sowie die übrigen Clients liegen im selben internen IP-Segment!
- Von diesen beiden RDS kannst du Beispielsweise google.de aufrufen.
- Von diesen beiden RDS kannst du aber kein www.google.de aufrufen, da ihr ein Zertifikat erhaltet, was einem alten RDS gehört. (warum leitet eine öffentliche Adresse auf einen internen Server?)
- Melden sich die User an einem normalen PC an, können sie www.google.de aufrufen.
Was gibt ein
nslookup myaccount.haufe.com konkret zurück. Bitte die Ausgabe entsprechend posten, aber nur insofern anonymisiert, das alles, was eure Firma beinhaltet anonymisiert wird. IP-Adressen sollten kein Problem darstellen, helfen sie sogar.
