20
Home-Office Laptop kann DNS nicht auflösen
Hallo zusammen,
Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.
Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.
Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.
Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)
Gruß
Lubos
Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.
Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.
Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.
Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)
Gruß
Lubos
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1090183377
Url: https://administrator.de/contentid/1090183377
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
20 Kommentare
Neuester Kommentar
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Das muss ich aausprobieren, danke 
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Ja der DNS Server ist in dem Client Einstellungen definiert.Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Wenn aber mehrere Clients gleichzeitig verbunden sind, wird natürlich eine freie IP-Adresse vergeben.
Kann man aus dem Tunnel den DC erreichen überhaupt?
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
Moin,
Gruß,
Dani
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen.
- beim Nutzer deiner Wahl einfach mal mittels Batch ein Logfile schreiben, damit du mal einen groben Zeitrahmen hast. So dass du anschließend auch auf der Firewall das Logfile anschauen kannst.
- Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. Gruß,
Dani
* Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?
Die Clients bekommen die 10.81.234.0/24Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?Nein keine Ausnahme.
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. Die Verteilung durch DHCP-Server wollte ich auch gerne, leider sind die Einstellungen von dem Sophos SSL Client, der für die VPN Verbindung benutzt wird, so dass der Sophos selber die IP-Adressen verteilt.
Gruß
Lubos
Moin,
Die Antwort auf meine zweite Frage wäre wichtiger.
Sind diese jederzeit per Ping/Nslookup erreichbar?
Gruß,
Dani
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. Die Antwort auf meine zweite Frage wäre wichtiger.Sind diese jederzeit per Ping/Nslookup erreichbar?
Gut :D
Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.Gruß,
Dani
Moin,
mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Gruß
em-pie
mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Gruß
em-pie
@em-pie
Gruß,
Dani
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf?
Laut TO wird jedlicher Datenvekehr durch den VPN Tunnel geschickt. Sie Antwort Kommentar auf meine Frage.Gruß,
Dani
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. Die Antwort auf meine zweite Frage wäre wichtiger.Sind diese jederzeit per Ping/Nslookup erreichbar?
Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.
Ich kriege auch sehr viel mit ;) zurzeit habe ich immer wieder Angst diverse Webseite aufzurufen was da auf mich rauspringt für neue Sicherheitslücke :D
Gruß
Lubos
Hi em-pie,
Ja Internet Verbindung funktioniert weiterhin. Google oder was anders ist aufrufbar.
Gruß
Lubos
Nutzt ihr einen Proxy im LAN der Firma?
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
nein wir nutzen keine Proxy.Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Ja Internet Verbindung funktioniert weiterhin. Google oder was anders ist aufrufbar.
Gruß
Lubos
Moin,
was sagt
wenn es geht, und was, wenn es nicht geht?
Liebe Grüße
Erik
was sagt
ipconfig /all
nslookup name_des_rdswenn es geht, und was, wenn es nicht geht?
Liebe Grüße
Erik
Moin,
Im Ernst?
Liebe Grüße
Erik
Zitat von @LubosNovy:
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.Im Ernst?
Liebe Grüße
Erik
Hallo Erik,
Im Ernst?
Ja, in der Firma mit eine kleine Serverlandschafft kam mir die Notwendigkeit von DMZ nicht so wichtig.
Gruß
Lubos
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.Im Ernst?
Gruß
Lubos
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht
Gruß
Lubos
Zitat von @LubosNovy:
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum.
Ich hatte bei mir fast das gleiche Problem.
Ich habe jetzt nicht die Kommentare gelesen aber die Problembeshreibung scheint ähnlich zu sein.
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Ich habe jetzt nicht die Kommentare gelesen aber die Problembeshreibung scheint ähnlich zu sein.
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Hallo zusammen,
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
Auf jeden fall auch ein versuch wert!
LG
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
Zitat von @TrupiD:
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Auf jeden fall auch ein versuch wert!
LG
Zitat von @Heididliho:
Hallo zusammen,
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
Hallo zusammen,
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
So sehen die Einstellungen aus:
Zitat von @TrupiD:
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Auf jeden fall auch ein versuch wert!
das muss ich ausprobieren sobald der Laptop wieder bei mir ist ;)
Gruß
Lubos
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum.
so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.
Gruß
Lubos
Zitat von @LubosNovy:
so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.
Gruß
Lubos
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum.
so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.
Gruß
Lubos
OK. Das sieht schonmal richtig aus. Der richtige NS antwortet und gibt auch die richtige IP zurück. Und ipconfig /all?
Liebe Grüße
Erik
