Home-Office Laptop kann DNS nicht auflösen

Hallo zusammen,

Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).

Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.

Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.

Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.

Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)

Gruß

Lubos

Content-Key: 1090183377

Url: https://administrator.de/contentid/1090183377

Ausgedruckt am: 20.09.2021 um 23:09 Uhr

Mitglied: hausrocker
hausrocker 26.07.2021 um 14:15:36 Uhr
Goto Top
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?

Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Mitglied: LubosNovy
LubosNovy 26.07.2021 aktualisiert um 15:03:17 Uhr
Goto Top
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Das muss ich aausprobieren, danke :) face-smile

Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Ja der DNS Server ist in dem Client Einstellungen definiert.
Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
ip address

Wenn aber mehrere Clients gleichzeitig verbunden sind, wird natürlich eine freie IP-Adresse vergeben.


Kann man aus dem Tunnel den DC erreichen überhaupt?
Ja

Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
Mitglied: Dani
Dani 26.07.2021 um 15:39:49 Uhr
Goto Top
Moin,
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen.
  • beim Nutzer deiner Wahl einfach mal mittels Batch ein Logfile schreiben, damit du mal einen groben Zeitrahmen hast. So dass du anschließend auch auf der Firewall das Logfile anschauen kannst.
  • Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?

Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?

Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. ;-) face-wink

Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. :-( face-sad


Gruß,
Dani
Mitglied: LubosNovy
LubosNovy 26.07.2021 um 15:54:36 Uhr
Goto Top
* Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?
Die Clients bekommen die 10.81.234.0/24

Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?
Nein habe ich nicht.
Nein keine Ausnahme.

Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. ;-) face-wink
Gut :D

Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. :-( face-sad

Die Verteilung durch DHCP-Server wollte ich auch gerne, leider sind die Einstellungen von dem Sophos SSL Client, der für die VPN Verbindung benutzt wird, so dass der Sophos selber die IP-Adressen verteilt.

sophos

Gruß

Lubos
Mitglied: Dani
Dani 26.07.2021 um 16:02:03 Uhr
Goto Top
Moin,
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. :-) face-smile Die Antwort auf meine zweite Frage wäre wichtiger.
Sind diese jederzeit per Ping/Nslookup erreichbar?

Gut :D
Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.


Gruß,
Dani
Mitglied: em-pie
em-pie 26.07.2021 um 16:11:03 Uhr
Goto Top
Moin,

mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?

Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)

Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?

Gruß
em-pie
Mitglied: Dani
Dani 26.07.2021 um 16:16:28 Uhr
Goto Top
@em-pie
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf?
Laut TO wird jedlicher Datenvekehr durch den VPN Tunnel geschickt. Sie Antwort Kommentar auf meine Frage.


Gruß,
Dani
Mitglied: LubosNovy
LubosNovy 26.07.2021 um 16:24:07 Uhr
Goto Top
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. :-) face-smile Die Antwort auf meine zweite Frage wäre wichtiger.
Sind diese jederzeit per Ping/Nslookup erreichbar?
Ja alles ist erreichbar.


Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.

Ich kriege auch sehr viel mit ;) zurzeit habe ich immer wieder Angst diverse Webseite aufzurufen was da auf mich rauspringt für neue Sicherheitslücke :D


Gruß

Lubos
Mitglied: LubosNovy
LubosNovy 26.07.2021 um 16:31:23 Uhr
Goto Top
Hi em-pie,


Nutzt ihr einen Proxy im LAN der Firma?

Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
nein wir nutzen keine Proxy.

Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?

Ja Internet Verbindung funktioniert weiterhin. Google oder was anders ist aufrufbar.

Gruß

Lubos
Mitglied: erikro
erikro 26.07.2021 um 17:31:56 Uhr
Goto Top
Moin,

was sagt

wenn es geht, und was, wenn es nicht geht?

Liebe Grüße

Erik
Mitglied: erikro
erikro 26.07.2021 um 17:33:57 Uhr
Goto Top
Moin,

Zitat von @LubosNovy:
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.

Im Ernst?

Liebe Grüße

Erik
Mitglied: em-pie
em-pie 26.07.2021 um 19:34:33 Uhr
Goto Top
@Dani

Hab ich doch glatt überlesen -.-
Mitglied: LubosNovy
LubosNovy 27.07.2021 um 09:21:23 Uhr
Goto Top
Hallo Erik,


Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.

Im Ernst?
Ja, in der Firma mit eine kleine Serverlandschafft kam mir die Notwendigkeit von DMZ nicht so wichtig.

Gruß

Lubos
Mitglied: LubosNovy
LubosNovy 27.07.2021 um 09:25:51 Uhr
Goto Top
Zitat von @erikro:

Moin,

was sagt

Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht :-/ face-confused

Gruß

Lubos
Mitglied: erikro
erikro 27.07.2021 um 11:26:49 Uhr
Goto Top
Zitat von @LubosNovy:

Zitat von @erikro:

Moin,

was sagt
>
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht :-/ face-confused


Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. ;-) face-wink
Mitglied: TrupiD
TrupiD 28.07.2021 um 09:45:31 Uhr
Goto Top
Ich hatte bei mir fast das gleiche Problem.

Ich habe jetzt nicht die Kommentare gelesen aber die Problembeshreibung scheint ähnlich zu sein.


Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Mitglied: Heididliho
Heididliho 28.07.2021 um 11:19:44 Uhr
Goto Top
Hallo zusammen,

da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.

Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s


Zitat von @TrupiD:

Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.

Auf jeden fall auch ein versuch wert!

LG
Mitglied: LubosNovy
LubosNovy 28.07.2021 um 12:03:39 Uhr
Goto Top
Zitat von @Heididliho:

Hallo zusammen,

da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.

Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s

So sehen die Einstellungen aus:
dns config


Zitat von @TrupiD:

Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.

Auf jeden fall auch ein versuch wert!


das muss ich ausprobieren sobald der Laptop wieder bei mir ist ;)

Gruß

Lubos
Mitglied: LubosNovy
LubosNovy 28.07.2021 um 12:05:16 Uhr
Goto Top
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. ;-) face-wink


screenshot 2021-07-28 081113

so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.

Gruß

Lubos
Mitglied: erikro
erikro 28.07.2021 um 12:16:51 Uhr
Goto Top
Zitat von @LubosNovy:

Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum. ;-) face-wink


screenshot 2021-07-28 081113

so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.

Gruß

Lubos

OK. Das sieht schonmal richtig aus. Der richtige NS antwortet und gibt auch die richtige IP zurück. Und ipconfig /all?

Liebe Grüße

Erik
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 21 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...