lubosnovy
Goto Top

Home-Office Laptop kann DNS nicht auflösen

Hallo zusammen,

Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).

Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.

Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.

Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.

Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)

Gruß

Lubos

Content-ID: 1090183377

Url: https://administrator.de/contentid/1090183377

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

hausrocker
hausrocker 26.07.2021 um 14:15:36 Uhr
Goto Top
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?

Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
LubosNovy
LubosNovy 26.07.2021 aktualisiert um 15:03:17 Uhr
Goto Top
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Das muss ich aausprobieren, danke face-smile

Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Ja der DNS Server ist in dem Client Einstellungen definiert.
Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
ip address

Wenn aber mehrere Clients gleichzeitig verbunden sind, wird natürlich eine freie IP-Adresse vergeben.


Kann man aus dem Tunnel den DC erreichen überhaupt?
Ja

Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
Dani
Dani 26.07.2021 um 15:39:49 Uhr
Goto Top
Moin,
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen.
  • beim Nutzer deiner Wahl einfach mal mittels Batch ein Logfile schreiben, damit du mal einen groben Zeitrahmen hast. So dass du anschließend auch auf der Firewall das Logfile anschauen kannst.
  • Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?

Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?

Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. face-wink

Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. face-sad


Gruß,
Dani
LubosNovy
LubosNovy 26.07.2021 um 15:54:36 Uhr
Goto Top
* Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?
Die Clients bekommen die 10.81.234.0/24

Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?
Nein habe ich nicht.
Nein keine Ausnahme.

Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. face-wink
Gut :D

Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. face-sad

Die Verteilung durch DHCP-Server wollte ich auch gerne, leider sind die Einstellungen von dem Sophos SSL Client, der für die VPN Verbindung benutzt wird, so dass der Sophos selber die IP-Adressen verteilt.

sophos

Gruß

Lubos
Dani
Dani 26.07.2021 um 16:02:03 Uhr
Goto Top
Moin,
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. face-smile Die Antwort auf meine zweite Frage wäre wichtiger.
Sind diese jederzeit per Ping/Nslookup erreichbar?

Gut :D
Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.


Gruß,
Dani
em-pie
em-pie 26.07.2021 um 16:11:03 Uhr
Goto Top
Moin,

mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?

Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)

Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?

Gruß
em-pie
Dani
Dani 26.07.2021 um 16:16:28 Uhr
Goto Top
@em-pie
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf?
Laut TO wird jedlicher Datenvekehr durch den VPN Tunnel geschickt. Sie Antwort Kommentar auf meine Frage.


Gruß,
Dani
LubosNovy
LubosNovy 26.07.2021 um 16:24:07 Uhr
Goto Top
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. face-smile Die Antwort auf meine zweite Frage wäre wichtiger.
Sind diese jederzeit per Ping/Nslookup erreichbar?
Ja alles ist erreichbar.


Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.

Ich kriege auch sehr viel mit ;) zurzeit habe ich immer wieder Angst diverse Webseite aufzurufen was da auf mich rauspringt für neue Sicherheitslücke :D


Gruß

Lubos
LubosNovy
LubosNovy 26.07.2021 um 16:31:23 Uhr
Goto Top
Hi em-pie,


Nutzt ihr einen Proxy im LAN der Firma?

Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
nein wir nutzen keine Proxy.

Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?

Ja Internet Verbindung funktioniert weiterhin. Google oder was anders ist aufrufbar.

Gruß

Lubos
erikro
erikro 26.07.2021 um 17:31:56 Uhr
Goto Top
Moin,

was sagt
ipconfig /all
nslookup name_des_rds

wenn es geht, und was, wenn es nicht geht?

Liebe Grüße

Erik
erikro
erikro 26.07.2021 um 17:33:57 Uhr
Goto Top
Moin,

Zitat von @LubosNovy:
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.

Im Ernst?

Liebe Grüße

Erik
em-pie
em-pie 26.07.2021 um 19:34:33 Uhr
Goto Top
@Dani

Hab ich doch glatt überlesen -.-
LubosNovy
LubosNovy 27.07.2021 um 09:21:23 Uhr
Goto Top
Hallo Erik,


Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.

Im Ernst?
Ja, in der Firma mit eine kleine Serverlandschafft kam mir die Notwendigkeit von DMZ nicht so wichtig.

Gruß

Lubos
LubosNovy
LubosNovy 27.07.2021 um 09:25:51 Uhr
Goto Top
Zitat von @erikro:

Moin,

was sagt
ipconfig /all
nslookup name_des_rds 

Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht face-confused

Gruß

Lubos
erikro
erikro 27.07.2021 um 11:26:49 Uhr
Goto Top
Zitat von @LubosNovy:

Zitat von @erikro:

Moin,

was sagt
ipconfig /all
> nslookup name_des_rds 

Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht face-confused


Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. face-wink
TrupiD
TrupiD 28.07.2021 um 09:45:31 Uhr
Goto Top
Ich hatte bei mir fast das gleiche Problem.

Ich habe jetzt nicht die Kommentare gelesen aber die Problembeshreibung scheint ähnlich zu sein.


Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Heididliho
Heididliho 28.07.2021 um 11:19:44 Uhr
Goto Top
Hallo zusammen,

da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.

Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s


Zitat von @TrupiD:

Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.

Auf jeden fall auch ein versuch wert!

LG
LubosNovy
LubosNovy 28.07.2021 um 12:03:39 Uhr
Goto Top
Zitat von @Heididliho:

Hallo zusammen,

da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.

Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s

So sehen die Einstellungen aus:
dns config


Zitat von @TrupiD:

Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.

Auf jeden fall auch ein versuch wert!


das muss ich ausprobieren sobald der Laptop wieder bei mir ist ;)

Gruß

Lubos
LubosNovy
LubosNovy 28.07.2021 um 12:05:16 Uhr
Goto Top
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. face-wink


screenshot 2021-07-28 081113

so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.

Gruß

Lubos
erikro
erikro 28.07.2021 um 12:16:51 Uhr
Goto Top
Zitat von @LubosNovy:

Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. face-wink


screenshot 2021-07-28 081113

so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.

Gruß

Lubos

OK. Das sieht schonmal richtig aus. Der richtige NS antwortet und gibt auch die richtige IP zurück. Und ipconfig /all?

Liebe Grüße

Erik