IIS Windows-Authentifizierung

Mitglied: Michl16

Michl16 (Level 1) - Jetzt verbinden

20.12.2019 um 14:04 Uhr, 846 Aufrufe, 4 Kommentare

Hallo zusammen

ich habe irgendwie ein "Verständnisproblem". Ich hoffe ihr könnt mir das Verhalten erklären.... :) face-smile

Ich will jetzt euch zu Beginn noch gar nicht groß mit Informationen/Einstellungen zumüllen, da es vielleicht ein ganz simples logisches Problem und/oder Denkfehler ist ist. Falls ihr doch mehr Konfigurationseinstellungen wissen müsst, einfach Bescheid geben.

Doch ganz grob:
- Es gibt einen DC-Server innerhalb der Firma (allerdings noch leider mit einer .local Domänenform. Nennen wir ihn mal abc.local)
- Die Website wird extern gehostet unter der Domain domain.de)
- Für den externen Zugriff vom Internet habe ich auf dem DC eine neue Zone srv.domain.de angelegt, so dass Zugriffe auf Service für außerhalb und innerhalb der Firma transparent sind und beide male srv.domain.de verwendet werden kann (auf dem Hoster wurde srv ebenfalls in den DNS eingetragen. Klappt auch alles soweit)
- Auf dem DC ist auch die Zertifizierungsrolle installiert mit Web-Interface. Diese ist jetzt zwar nicht relevant, aber damit kann es jeder wahrscheinlich einfach nachvollziehen)

Wenn ich nun intern (auf dem DC selbst) https://abc.local/certsrv aufrufe, wird sofort die Website angezeigt (da die Authentifizierung erfolgreich (sein muss) wird auch kein Login-Dialog angezeigt)

Wenn ich jedoch intern (ebenfalls direkt auf dem DC) https://srv.domain.de/certsrv verwende, kommt jedoch ein Anmeldedialog. Auch wenn ich dort die richtigen Credentials eintrage, kommt der Dialog sofort wieder. IIS kann aus irgendeinem Grunde die Anmeldedaten nicht überprüfen.

nslookup abc.local + nslookup srv.domain.de verweisen definitiv beide male auf den DC. Eine Adressauflösungsproblem kann es also nicht sein.
Ich vermute eher, dass mit srv.domain.de IIS nicht die Domain erkennt und die Credentials dagegen prüft. Das ist wahrscheinlich ein gutes Beispiel wieso der Domänenname gleich sein sollte, um gerade solche Probleme zu vermeiden.

Ist das ein unlösbares Problem oder habe ich nur noch etwas vergessen einzustellen?

VG
Michael
Mitglied: emeriks
20.12.2019 um 14:14 Uhr
Hi,
Du hast auf dem DC auch eine CA laufen?
Und der Record srv.domain.de verweist auf den DC/CA?
Der Zugriff auf die Website der CA erfolgt über HTTPS?
Meckert er denn nicht ein falsches Zertifikat an, wenn Du dann über srv.domain.de gehst?
Und falls ja, könnte das u.U. das Problem sein?
Und falls er nicht wegen des Zertifkats meckert, dann hast Du also ein neues Zertikat erstellt mit zusätzlich dem srv.domain.de und darüber die Bindung am IIS konfiguriert?

Deine Infos sind da etwas schwammig.

E.
Bitte warten ..
Mitglied: Michl16
20.12.2019, aktualisiert um 15:54 Uhr
Richtig. Das Zertifikat ist auf srv.domain.de ausgestellt und findet er auch - von intern wie auch extern
(wenn man den Credential-Dialog abbricht, kommt ja eine 401.2 Fehlermeldung. Aber das Zertifikat/Verbindung wird als gültig angezeigt und ist auch das srv.domain.de Zertifikat)

Wenn ich über https://abc.local/certsrv die Website aufrufe wird natürlich das Zertifikat als ungültig angezeigt weil natürlich der Common Name falsch ist. Die Site wird aber trotzdem korrekt angezeigt (und im Hintergrund korrekt authentifiziert)

Wie versucht denn IIS einen Benutzer technisch zu authentifizieren?? Das würde mich mal gerne interessieren...
Bitte warten ..
Mitglied: erikro
20.12.2019 um 17:59 Uhr
Moin,

Zitat von Michl16:

Richtig. Das Zertifikat ist auf srv.domain.de ausgestellt und findet er auch - von intern wie auch extern
(wenn man den Credential-Dialog abbricht, kommt ja eine 401.2 Fehlermeldung. Aber das Zertifikat/Verbindung wird als gültig angezeigt und ist auch das srv.domain.de Zertifikat)

Klar. Sonst wäre ja auch der IIS falsch konfiguriert. Das Zertifikat dient aber nicht dazu, den User zu identifizieren, sondern lediglich dazu, eine gesicherte Verbindung aufzubauen.

Wenn ich über https://abc.local/certsrv die Website aufrufe wird natürlich das Zertifikat als ungültig angezeigt weil natürlich der Common Name falsch ist. Die Site wird aber trotzdem korrekt angezeigt (und im Hintergrund korrekt authentifiziert)

Da ist zwar das Zertifikat falsch. Wen Du es aber akzeptierst und der Vorgang weiter geht, dann wird festgestellt, dass Du Dich in derselben Domain wie der Server befindest. Du hast single login konfiguriert. Also schiebt Windows die Credentials rüber und alles ist gut.

Wie versucht denn IIS einen Benutzer technisch zu authentifizieren?? Das würde mich mal gerne interessieren...

Na anhand des Domain Names. Und das dürfte das Problem sein. Wenn Du über srv.domain.de kommst, dann bist Du nicht in der Domain abc.local. Deshalb werden auch die Credentials nicht einfach übergeben. Das ist auch gut so. Stell Dir mal vor, wie einfach das wäre, Credentials zu stehlen, wenn die auf jede x-beliebige Site übertragen werden. Also fragt der Server nach Benutzername und Passwort. Nun gibst Du, vermute ich, den Benutzernamen ohne Domain an. Dann guckt der IIS nach, ob es den Benutzer benutzername@domain.de gibt und stellt fest, dass dem nicht so ist. Nochmal bitte. Hast Du es schon einmal mit benutzername@abc.local versucht?

BTW: Dass beide Einträge auf dieselbe IP zeigen und deshalb nslookup das gleiche Ergebnis liefert, heißt nur, dass es sich auf OSI 3 um denselben Netzwerkadapter handelt. Die Authentifizierung findet aber auf OSI 5-7 statt und da sind abc.local und domain zwei vollkommen unterschiedliche Dinge.

hth

Erik
Bitte warten ..
Mitglied: Michl16
23.12.2019, aktualisiert um 16:41 Uhr
Zitat von erikro:
Klar. Sonst wäre ja auch der IIS falsch konfiguriert. Das Zertifikat dient aber nicht dazu, den User zu identifizieren, sondern lediglich dazu, eine gesicherte Verbindung aufzubauen.

Richtig. Hätte nur sein können, dass eine korrekte Validierung auf einer sicheren Verbindung akzeptiert wird. Aber das konnte ich ja bereits selbst widerlegen und wollte es nur nochmals erwähnen.

Zitat von erikro:
Nun gibst Du, vermute ich, den Benutzernamen ohne Domain an. Dann guckt der IIS nach, ob es den Benutzer benutzername@domain.de gibt und stellt fest, dass dem nicht so ist. Nochmal bitte. Hast Du es schon einmal mit benutzername@abc.local versucht?

Das hatte ich auch vermutet und hätte gedacht, dass eine explizite Angabe der Domain (also in abc\ oder user@abc.local) spätestens klappen sollte. Tut es aber leider nicht. Das verwundert mich auch...
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 1 TagAllgemeinWünsch Dir was24 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Festplatten, SSD, Raid
SATA Treiber für HP
gelöst ben1300Vor 23 StundenFrageFestplatten, SSD, Raid21 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 1 TagFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Sicherheitsgrundlagen
TI am Ende - Aus für Konnektor und elektronische Gesundheitskarte: Gematik stellt TI 2.0 vor
StefanKittelVor 1 TagInformationSicherheitsgrundlagen4 Kommentare

Hallo, nach der Großstörung in 2020 und allgemeinen Vorwürfen bezüglich der zweifelhaften Konnetktoren scheint die TI nun den Stecker ziehen zu wollen. Nachdem nun ...

Hardware
Cisco C9300 - zwei Kabel und nur 1 verbindet?
gelöst PeterGygerVor 1 TagFrageHardware14 Kommentare

Hallo Wir haben gestern ein paar C9300 im Lab aufgestellt. Spasseshalber haben wir mit 2 seriellen Kabeln über Win 10 / Putty uns mit ...

Windows Systemdateien
Sql Server 2014 mit extrem vielen DBs auf neuen Server migrieren
gelöst itnirvanaVor 1 TagFrageWindows Systemdateien6 Kommentare

SQL DB Migration auf anderen Server eigentlich ok. Management Studio export . Anderer Server Imporr. Berevhtigung neu setzen SQL User ersteölen etc Jetzt habe ...