Home-Office Laptop kann DNS nicht auflösen
Hallo zusammen,
Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.
Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.
Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.
Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)
Gruß
Lubos
Situation:
Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen und der Benutzer hat sich auch im Büro angemeldet, so dass er sich dann außerhalb des Netzwerks, also ohne Domäne, anmelden kann.
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Problem:
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen. Mit einem Ping erreiche ich über die IP-Adresse alle Server im Netzwerk. Über DNS Name nicht. So können sich die Benutzer nicht mehr auf die Terminal Server anmelden.
Sobald ich aber der DNS-Antrag erneue = Laptop im Büro in Domänennetzwerk nehmen und sich einfach anmelden, funktioniert es zu Hause wieder.
Leider habe ich keine andere Lösung gefunden und habe auch schon die Benutzer angewiesen sich immer wieder auf dem Laptop im Büro anzumelden.
Meine Frage ist ob jemand schon so ein Problem hatte oder immer noch hat und wie es gelöst wurde. Google hat leider keine Hilfe für mich oder ich stelle die Frage zu kompliziert/dumm ;)
Gruß
Lubos
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1090183377
Url: https://administrator.de/contentid/1090183377
Ausgedruckt am: 25.11.2024 um 05:11 Uhr
20 Kommentare
Neuester Kommentar
Quick and dirty: Die hosts Datei bearbeiten und die rds Adresse da eintragen.
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Ist der DNS Server in den Client Einstellungen passend definiert oder ist der DNS dann die Sophos und die hat als DNS dann den DC?
Kann man aus dem Tunnel den DC erreichen überhaupt? Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Moin,
Gruß,
Dani
Nach unbekannte Zeit kann der Laptop die FQDN nicht mehr auflösen.
- beim Nutzer deiner Wahl einfach mal mittels Batch ein Logfile schreiben, damit du mal einen groben Zeitrahmen hast. So dass du anschließend auch auf der Firewall das Logfile anschauen kannst.
- Welche IP-Adressen für die DNS Server bekommt der Client über die VPN-Einwahl zugeteilt?
Die Benutzer melden sich im Home-Office auf einem Terminal Server an. Die RDS-Server Anmeldung geht über rds.xxxx.de (Beispiel).
Kann aber nicht sein, dass du Split-DNS am Laufen hast? Zudem muss aller Datenverkehr durch den VPN-Tunnel oder hast du Ausnahmen definiert?Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.
DMZ nutzen nur Azubis und Anfänger. Der Sophos verteilt die IP-Adressen. Was mich aber stört ist, dass in DNS mehrere Clients die gleiche IP bekommen:
Warum verteilt nicht dein DHCP-Server auf den DC die IP-Adressen? So wäre sichergestellt, dass Lease TIme und DNS-Einträge sich nicht überschneiden wie es aktuell ist. Weil die Spohos räum wohl nicht auf. Gruß,
Dani
Moin,
Sind diese jederzeit per Ping/Nslookup erreichbar?
Gruß,
Dani
Die Clients bekommen die 10.81.234.0/24
Gut. Somit wäre 1/2 Fragen beantwortet. Die Antwort auf meine zweite Frage wäre wichtiger.Sind diese jederzeit per Ping/Nslookup erreichbar?
Gut :D
Ist ja nicht so, dass es jeden Monat diverse Sicherheitslücken bei Microsoft, Sophos, etc. veröffentlicht werden. Meistens auch mit eine Proof of Concept. Der neuste Trend ist auch den Herstellern keine Zeit mehr zu geben, einen Hofix zu veröffentlichen. Die Schlagzahl wurde dieses Jahr erhöht und wenn das so weiter geht, wird es bei vielen Firmen richtig knallen. Einfach als Anregung zum Nachdenken.Gruß,
Dani
Moin,
mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Gruß
em-pie
mal eine beknackte Frage:
Nutzt ihr einen Proxy im LAN der Firma?
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf? (Ja, ich weiss, da müsste noch ein wenig mehr konfiguriert sein, damit das zutrifft..)
Zum Gegenprüfen:
Können die ANwender weiterhin seiten wie google oder eher abstraktes wie heise.de aufrufen?
Gruß
em-pie
@em-pie
Gruß,
Dani
Könnte es sein, dass nach einer gewissen Zeit der heimische Client über den Proxy gehen will, den aus dem WAN heraus aber (richtigerweise) nicht erreichen kann/ darf?
Laut TO wird jedlicher Datenvekehr durch den VPN Tunnel geschickt. Sie Antwort Kommentar auf meine Frage.Gruß,
Dani
Moin,
Im Ernst?
Liebe Grüße
Erik
Zitat von @LubosNovy:
Da liegt bestimmt das Problem: VPN User können den RDS erreichen, weil der in der DMZ liegt oder so aber nicht den DC?
Es gibt kein DMZ. Die RDS Server und DC liegen in einem Netz.Im Ernst?
Liebe Grüße
Erik
Zitat von @LubosNovy:
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht
Wenn es geht: DC und DC-IP und Name und IP von RDS werden erkannt
Wenn es nicht geht kann ich dir leider jetzt nicht sagen weil ich kein Laptop habe der nicht geht
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum.
Hallo zusammen,
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
Auf jeden fall auch ein versuch wert!
LG
da die Sophos DHCP spielt kann man leider die Leasetime nicht anpassen, die könnte zu Problemen mit Ihrem DNS scavenging führen.
Bitte mal die DNS Config anhand von diesem Video überprüfen:
https://www.youtube.com/watch?v=pZwS5OkgXmI&t=910s
Zitat von @TrupiD:
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Versuch bitte IPv6 im Netzwerkadapter des Clients zu deaktivieren. Es kann sein, dass lokale IPv6 Serveradresse erstmal angesprochen wird.
Auf jeden fall auch ein versuch wert!
LG
Zitat von @LubosNovy:
so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.
Gruß
Lubos
Könntest Du vielleicht einfach die Ausgabe der Befehle posten? Dass es mal geht und mal nicht, wissen wir ja schon. Wir wollen aber wissen, warum.
so sieht es aus wenn es geht, ich habe leider der Laptop nicht mehr bei mir und es wurde mit der Anmeldung im Büro behoben.
Deswegen ist es jetzt schwierig zu sagen/zeigen wie es aussieht wenn es nicht geht.
Gruß
Lubos
OK. Das sieht schonmal richtig aus. Der richtige NS antwortet und gibt auch die richtige IP zurück. Und ipconfig /all?
Liebe Grüße
Erik