thecrey
Goto Top

IIS - 502 - Sites Problematik

Hallo zusammen,
ich hoffe es geht gut.
Ich habe hier ein für meine Begriffe ungewöhnliches Problem.
Ich fasse kurz den IST-Zustand zusammen.

Es gibt einen IIS auf einem Exchange.
Dort ist OWA eingerichtet und klappt auch. (webmail.domain.org)
Ebenfalls ist dort als Site Nextcloud hinterlegt und verlinkt (nextcloud.domain.org).
Funktioniert ebenfalls

Diese Nextcloud ist "leider" ein Docker und ein überbleibsel eines ehemaligen MA und ohne Dokumentation oder ähnlichem. Diese Nextcloud instanz ist sehr alt und lässt sich nicht mehr updaten. Da die Daten und Benutzer aber über eine AD kommen können diese ja recht einfach umgezogen werden.

Daher habe ich ein neue Nextcloud auf einer Ubuntu VM hochgezogen.
Soweit so gut. Funktioniert auch alles ohne Probleme
Diese soll nun unter nextcloud2.domain.org erreichbar sein, sowohl Intern als auch extern, wie es eben bei nextcloud.domain.org der fall ist.

Der Gedanke dahinter ist einfach, dass wir nicht alle User aus der aktuellen Nextcloud ausloggen wollen sondern einen langsamen Umzug vollziehen können, da wir viele Nutzer haben die die Nextcloud von unterwegs nutzen (Tablets) und daher selten im Haus sind.

Nun habe ich als im IIS die neue Site Netxcloud2 hinzugefügt und die Bindung mit dem SSL Zertifikat des Servers gemacht:
Sowohl für HTTP als auch für HTTPS Port 80/443 und IP-Adresse ist "*" da dies über den DC bzw. DNS-Manager geregelt wird.
Habe die Einstellungen dort genauso gemacht wie für nextcloud.domain.org

Undzwar wie folgt:

domain.local
nextcloud.domain.org (CNAME) -> mailserver.domain.local
nextcloud2.domain.org (CNAME) -> mailserver.domain.local

domain.org
mailserver.domain.local (CANME) -> IP-Adresse

Dann habe ich noch unter c:\inetpub\wwwroot\nextcloud die Datei web.config in den Ordner ..\nextcloud2 kopiert und angepasst, wobei hier nur der name des Redirect angepasst wurde, eben auf nextcloud2.domain.org

Sobald ich dan die URL aufrufe bekomme ich einen Fehler:
502 - Webserver hat als Gateway oder Proxyserver eine ungültige Antwort erhalten.
Problem mit der gesuchten Seite. Sie kann nicht angezeigt werden. Beim Kontaktieren des Upstream-Inhaltsservers hat der Webserver (als Gateway oder Proxy) eine ungültige Antwort vom Inhaltsserver erhalten.

Die Log Dateien vom ISS ergeben für mich leider keinen Sinn bzw. helfen mir nicht weiter:

#Software: Microsoft Internet Information Services 10.0
#Version: 1.0
#Date: 2024-02-07 07:59:11
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2024-02-07 07:59:11 192.x.x.102 GET / X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=58ffb937-35ad-4ff5-a56a-e129455b16be 443 - 192.x.x.134 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/121.0.0.0+Safari/537.36 - 502 3 12175 272
2024-02-07 07:59:11 192.x.x.102 GET /favicon.ico X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=8ec0b417-beda-4a99-9af7-3a94c1d5f30d 443 - 192.x.x.134 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/121.0.0.0+Safari/537.36 https://nextcloud2.domain.org/ 502 3 12175 6

192.x.x.102 = IP mailserver.domain.org
192.x.x.134 = IP des Clientrechners der die Anfrage gestellt hat


Ich bin nicht ganz sicher woher der Fehler jetzt kommt.
Ich hatte den Verdacht, dass es daran liegt, dass in der Config der nextcloud2 der Verkeher permanent über https geleitet wird, da aber keine Zertifikat hinterlegt ist, beim IIS aber schon, er deswegen meckert.
Bei nextcloud ist aber auch kein Zertifikat hinterlegt (das sehe ich ja wenn ich die IP direkt öffne und dort wird http auch direkt auf https umgeleitet)

Öffne ich also nextcloud2.domain.org direkt über die https://192.x.x.122 lässt sich diese öffnen, zwar mit Zertifikatswarnung aber es geht.
Öffnen ich https://nextcloud2.domain.org bekomme ich ich den 502 Fehler aber das Zertifikat, welches ja dann vom ISS kommt, passt.

Ich weiss gerade nicht weiter, vielleicht kann mir ja jemand einen Tipp geben was ich noch machen muss.

Vielen Dank !

Content-Key: 33843287619

Url: https://administrator.de/contentid/33843287619

Printed on: April 22, 2024 at 06:04 o'clock

Member: Mr.Molochos
Mr.Molochos Feb 07, 2024 updated at 11:34:39 (UTC)
Goto Top
Hallo TheCrey,
Zertifikatproblem? Was steht denn in dem zugewiesenen Zertifikat bei den SAN Namen alles drin?

Stehen in der Ereignisanzeige/Log des Win-Servers wo der IIS läuft mehr Details, scheint ein 502.3 Fehler zu sein?
Der 502 ist vom IIS nicht vom Nextcolud2 Webserver?

Sicherheitshalber mal ein nslookup und ein traceroute auf die IP und dann auf den Name durchführen und schauen ob es auch beim namen intern bleibt oder das DNS nicht greift und er beim namen extern über den provider geht, was ja für intern nicht sein soll. Der externe Weg ist ja hier jetzt erstmal uninteressant.
Member: TheCrey
TheCrey Feb 07, 2024 updated at 14:03:07 (UTC)
Goto Top
Hi,

danke für die Antwort.

Bezüglich deiner SAN Frage ist das glaube ich nicht das thema, da dass Zertifikat auf "*.domain.org" läuft. dementsprechend ist bzw. sollte ja nextcloud2.domain.org ja dabei sein.

In der Ereignisanziege unter Lokal -> Serverrollen -> Webserver (IIS) stehen "nur" Warnungen
z.b.

Warnung
Fehler im Anwendungshost-Hilfsdienst beim Löschen des Verlaufsverzeichnisses "C:\inetpub\history\CFGHISTORY_0000000128". Das Verzeichnis wird übersprungen und ignoriert. Beachten Sie, dass das Verzeichnis möglicherweise bei einem zukünftigen Neustart des Diensts gelöscht wird. Das Datenfeld enthält die Fehlernummer.  

Information
Ein Arbeitsprozess mit der Prozess-ID "14540" für den Anwendungspool "Nextcloud2" wurde aufgrund von Inaktivität heruntergefahren. Das Timeout für den Anwendungspool wurde auf 20 Minuten festgelegt. Bei Bedarf wird ein neuer Arbeitsprozess gestartet.  

Warnung
Fehler im Anwendungshost-Hilfsdienst beim Löschen des Verlaufsverzeichnisses "C:\inetpub\history\CFGHISTORY_0000000124\schema". Das Verzeichnis wird übersprungen und ignoriert. Beachten Sie, dass das Verzeichnis möglicherweise bei einem zukünftigen Neustart des Diensts gelöscht wird. Das Datenfeld enthält die Fehlernummer.  

Nslookup sie wie folgt aus, meiner Meinung nach auch korrekt:

C:\Users\user>nslookup nextcloud2.domain.org
Server:  dc.domain.local
Address:  192.x.x.1

Name:    mailserver.domain.local
Address:  192.x.x.102
Aliases:  nextcloud2.domain.org

Ich denke dass der Fehler vom IIS kommt und nicht Nextcloud, warum kann ich aber ehrlicherweise nicht sagen aber wenn ich ja die NC direkt öffnen geht es ja
Member: Dani
Dani Feb 07, 2024 at 20:56:40 (UTC)
Goto Top
Moin,
Diese Nextcloud ist "leider" ein Docker und ein überbleibsel eines ehemaligen MA und ohne Dokumentation oder ähnlichem. Diese Nextcloud instanz ist sehr alt und lässt sich nicht mehr updaten.
Interessanter Sachverhalt. Welches OS, Docker Version und Container Tag von Nextcloud kommt zum Einsatz?

Daher habe ich ein neue Nextcloud auf einer Ubuntu VM hochgezogen.
Hört der Webserver (welcher auch immer) und Nextcloud auf den FQDN nextcloud2.domain.org?

Bezüglich deiner SAN Frage ist das glaube ich nicht das thema, da dass Zertifikat auf "*.domain.org" läuft. dementsprechend ist bzw. sollte ja nextcloud2.domain.org ja dabei sein.
Glauben kannst du am Sonntag in der Kirche. In der IT zählen nur Fakten.

Öffne ich also nextcloud2.domain.org direkt über die https://192.x.x.122 lässt sich diese öffnen, zwar mit Zertifikatswarnung aber es geht.
Wenn du den FQDN nextcloud2.domain.org direkt auf die IP-Adresse des Ubuntu Servers VM änderst, funktioniert die Nextcloud wie sie soll? Unabhängig davon spiele dort ebenfalls das korrekte Zertifikat ein. Sicherheit beginnt auch bei einer gültigen, validen Zertifikatskette.

Nun habe ich als im IIS die neue Site Netxcloud2 hinzugefügt und die Bindung mit dem SSL Zertifikat des Servers gemacht
Was sucht ein Services wie Nextcloud im LAN? Sowas gehört abgeschirmt in die DMZ. Schlimm genug, dass der Exchange Server bzw. IIS wohl direkt aus dem Internet erreichbar ist.


Gruß,
Dani
Member: TheCrey
TheCrey Feb 08, 2024 at 11:31:53 (UTC)
Goto Top
Hi,

danke für die Antwort.
Bin leider in den Themen nicht so fit, versuche mal die infos zu geben, und das dies nicht optimal ist, weiß ich aber eins nach dem anderem..

Interessanter Sachverhalt. Welches OS, Docker Version und Container Tag von Nextcloud kommt zum Einsatz?
Ubuntu 22.04.3 LTS
Docker version 20.10.17, build 100c701

Container Tag von Nextcloud
Hier wird es spannend weil in der docker-composer-yaml ist keine Tag angegeben, wenn ich einen angebe
image: "nextcloud:25.0.18"   
renne ich ständig in Fehler und bekomme ich es nicht zum laufen.
z.b. Nextcloud need to be rebuild, follow these 5 Steps welche allerdings für mich nicht ganz klar sind.
Gerne kann ich die aber Posten, sollte jemand ne idee haben wie ich das auch direkt updaten kann.
Müsste dann aber von V24 auf V25 und dann V26 gehen etc.
Dürfte dann aber ja immer das gleiche Prinzip sein.

Hört der Webserver (welcher auch immer) und Nextcloud auf den FQDN nextcloud2.domain.org?
Hier muss ich nachfragen wie das gemeint ist?
Sowohl bei der apache2 config als auch bei der trusted domains der nextcloud-config ist nextcloud2.domain.org eingetragen
War die Frage darauf bezogen ?

Glauben kannst du am Sonntag in der Kirche. In der IT zählen nur Fakten.
Gut ändere ich die Aussagen, ich weiß es nicht, aber es seht nur "*.domain.org" drin und das Zertifikat ist auch nur daraus ausgestellt

Wenn du den FQDN nextcloud2.domain.org direkt auf die IP-Adresse des Ubuntu Servers VM änderst, funktioniert die Nextcloud wie sie soll? Unabhängig davon spiele dort ebenfalls das korrekte Zertifikat ein. Sicherheit beginnt auch bei einer gültigen, validen Zertifikatskette.
Ja, dann geht es, bis auf eben das Zertifikatsproblem.

Was sucht ein Services wie Nextcloud im LAN? Sowas gehört abgeschirmt in die DMZ. Schlimm genug, dass der Exchange Server bzw. IIS wohl direkt aus dem Internet erreichbar ist.
Durchaus richtig ! Aber hier aktuell nicht der Fall und auch wegen Unwissenheit aktuell noch nicht umsetzbar. Dafür gibt es anderen Sicherheitsvorkehrungen.
Ist aber ein Thema das umgesetzt werden muss ist mir durchaus bewusst.

Danke
Member: Dani
Dani Feb 16, 2024 at 19:29:00 (UTC)
Goto Top
Moin,
Hier wird es spannend weil in der docker-composer-yaml ist keine Tag angegeben
sicher? Parallel dazu kannst du mit dem Befehl docker compose images ls naschauen, welcher Tag aktuell verwendet wird.

z.b. Nextcloud need to be rebuild, follow these 5 Steps welche allerdings für mich nicht ganz klar sind.
Lesen, Lesen, Lesen: https://github.com/nextcloud/docker?tab=readme-ov-file#update-to-a-newer ...

Sowohl bei der apache2 config als auch bei der trusted domains der nextcloud-config ist nextcloud2.domain.org eingetragen. War die Frage darauf bezogen ?
Ja.

Ja, dann geht es, bis auf eben das Zertifikatsproblem.
Dann ist auf dem Webserver der VM, auf dem NC bereitgestellt wird, das falsche Zertifikat eingebunden.

Dafür gibt es anderen Sicherheitsvorkehrungen.
Wie oft ich den Satz schon gehört habe... ich zähl schon gar nicht mehr mit. face-big-smile


Gruß,
Dani