dennis93
Goto Top

Internet Explorer DNS Problem, obwohl DNS funktioniert

Hallo zusammen.

Ich betreue ein Toyota Autohaus und dort wird von Toyota eine VPN Verbindung aufgebaut um in deren Intranet zu kommen, das sogenannte Toyota Händler Portal.

Der VPN Tunnel zu Toyota steht und das Routing funktioniert. Alle DNS Anfragen laufen über den DC und werden da mit bedingter Weiterleitung an den Toyota DNS weitergeleitet.
Ich kann mich nun im Partner Portal selber problemlos anmelden. (also muss der DNS funktionieren, denn das wäre sonst nicht möglich, die Seite ist im Internet nicht erreichbar). Möchte ich von dort nun eine Verlinkung zum Garantieportal öffnen, dann sagt mir der Internet Explorer "Die Seite kann nicht angezeigt werden. Vergewissern Sie sich, dass die Webadresse https://cws.toyota-europe.com stimmt." (Aufruf ist nur über VPN zu Toyota möglich!)

Ich habe dann mal ein nslookup auf die Domain gemacht (funktioniert!) und ein tracert auf die Domain gemacht (geht erfolgreich über unseren Router --> .39 und von da über den VPN Tunnel zum Ziel .217 am Ende).

26-06-2018 16-01-14

Trotzdem kann ich (und jetzt kommt das komische!) an MANCHEN Windows 10 Clients die Seite nicht öffnen. An einem Windows 7 und einem anderen Windows 10 Client funktioniert das ganze einwandfrei. Alle nutzen die selben Netzwerkeinstellungen (DNS, Gateway, etc.).

Hat irgendjemand eine Idee, woran das liegen kann? Aus Sicherheitsgründen habe ich die vorderen IP-Blöcke rausgeschnitten.

Danke im Voraus!
LG Dennis

Content-ID: 378234

Url: https://administrator.de/forum/internet-explorer-dns-problem-obwohl-dns-funktioniert-378234.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

SeaStorm
SeaStorm 26.06.2018 um 16:10:15 Uhr
Goto Top
ist ja offensichtlich kein DNS Problem, wenn der DNS die korrekte IP zurück gibt.
Aus dem Bauch heraus würde ich jetzt mal auf einen veralteten Webserver tippen, der nur irgendeine alte SSL Version anbietet, die der neuere IE nicht mehr spricht. Kommst du per Telnet auf den Port 443 ?
Dennis93
Dennis93 26.06.2018 aktualisiert um 16:44:53 Uhr
Goto Top
Auf den Windows 10 PCs kommt übrigens manchmal auch eine andere "Fehlermeldung". Nämlich die:

inet_e_resource_not_found

Und zwar im IE11, NICHT im Edge.

26-06-2018 16-42-22

Telnet muss ich später nochmal testen, habe ich noch nicht versucht.
erikro
erikro 26.06.2018 um 16:42:40 Uhr
Goto Top
Moin,

Zitat von @Dennis93:
Telnet muss ich später nochmal testen, habe ich noch nicht versucht.

Nimm nicht telnet, sondern den s_client von openssl. Da siehst du nämlich das Zertifikat und die SSL/TLS-Version, die der Server mit Dir spricht.

Liebe Grüße

Erik
LordGurke
LordGurke 26.06.2018 aktualisiert um 23:00:39 Uhr
Goto Top
Und es ist auch nicht so was Doofes wie ein aktivierter Proxy-Server im Internet Explorer?
Es reicht ja schon aus, wenn der IE versucht über den Proxy die Namensauflösung zu machen und von dem NXDOMAIN zurück bekommt.
Dennis93
Dennis93 27.06.2018 um 09:52:03 Uhr
Goto Top
Das war tatsächlich auch meine erste Vermutung @LordGurke .. Leider ist es auch das nicht face-sad
clubmaster
clubmaster 27.06.2018 um 15:04:43 Uhr
Goto Top
Geh mal auf https://viewpoint.toyota-europe.com, dort sollte das Central Warrenty System sein, welches du suchst.
screenshot-viewpoint.toyota-europe.com-2018.06.27-14-59-53
Dennis93
Dennis93 27.06.2018 um 15:12:41 Uhr
Goto Top
Danke @clubmaster
die Seite lässt sich überhaupt nicht aufrufen bei dem Kunden, die wird vom Toyota DNS wohl nicht erkannt. (alle DNS Anfragen *.toyota-europe.com laufen über den von Toyota bereitgestellten DNS).

Wir gehen aktuell den Weg über das Toyota Händler Portal:
27-06-2018 15-11-12

Ich habe gerade aber wieder ein komisches Phänomen festgestellt. Es wurden keinerlei Änderungen vorgenommen, weder an Router, noch an VPN Tunnel oder gar dem PC. Komischerweise funktioniert der Zugriff aufs CWS jetzt gerade um 15:00. Heute Mittag noch ging es nicht. An einem weiteren PC geht es auch jetzt gerade nicht. Ich würde fast darum wetten, dass der Zugriff gleich oder morgen früh auch auf dem jetzt funktionierenden PC nicht mehr geht.

Sehr komisch alles.
SeaStorm
SeaStorm 27.06.2018 um 15:28:52 Uhr
Goto Top
und was sagt telnet / s_client, wenn es grad nicht geht?
Dennis93
Dennis93 02.07.2018 um 08:15:16 Uhr
Goto Top
Guten Morgen zusammen,

jetzt gerade läuft es bspw. wieder nicht. Ein Tracert läuft durch bis zum Ziel (über unseren Router .39 bis zum Ziel .217).

Ein telnet cws.toyota-europe.com 443 läuft ins nichts, es bleibt ein schwarzes Fenster, nach 10 Sekunden steht vorne wieder meine normale CMD Eingabeaufforderung.

02-07-2018 08-11-54

Jemand noch eine Idee? Das komische ist ja tatsächlich, wieso es mal läuft und mal nicht, ohne dass jmd die Konfig. ändert.

LG Dennis
erikro
erikro 02.07.2018 um 08:39:56 Uhr
Goto Top
Moin,

nimm den s_client. Telnet bringt nichts, wenn Du eine verschlüsselte Verbindung testen willst, weil das keinen SSL-Handshake macht.

Liebe Grüße

Erik
Dennis93
Dennis93 02.07.2018 um 08:42:59 Uhr
Goto Top
Moin,

leider kenne ich mich mit dem s_client gar nicht aus. Was genau muss ich wo herunterladen und installieren um zu testen?

Danke!
Dennis93
Dennis93 02.07.2018 um 09:17:54 Uhr
Goto Top
Okay, hab mich mal eingelesen und getestet.

openssl s_client -connect cws.toyota-europe.com:443

Natürlich (wie soll es der Zufall auch anders wollen, funktionierte natürlich jetzt gerade mal wieder der Aufruf der Seite.....).

Muss also abwarten, bis es mal wieder nicht geht und dann testen.
erikro
erikro 02.07.2018 um 09:19:30 Uhr
Goto Top
Moin,

der gehört zum OpenSSL-Paket. Gibt es für Windows z. B. hier:
https://wiki.openssl.org/index.php/Binaries

Der Aufruf ist dann

openssl s_client -connect www.domain.com:443

Danach siehst Du die Zertifikaten durchlaufen und es steht da auch, welche SSL/TLS-Versionen gesprochen werden.

Liebe Grüße

Erik
Dennis93
Dennis93 03.07.2018 um 08:48:06 Uhr
Goto Top
Moin!
So, konnte es nachstellen, Verbindung war wieder nicht möglich. Anbei ein Screenshot, was der s_client dann ausspuckt:

03-07-2018 08-46-42

Als es noch lief, ratterte die ganze Zertifikatskette durch mit viel mehr Zeilen Output.

Aber was sagt mir die Ausgabe jetzt?

LG Dennis
Dennis93
Dennis93 03.07.2018 um 09:22:17 Uhr
Goto Top
Die "Fehlermeldung" an sich variiert auch von Mal zu Mal. Erst war es die normale "Fehlermeldung", jetzt kommt "aktivieren Sie TLS 1.0, TLS 1.1 und TLS 1.2 (obwohl alle aktiviert sind).

03-07-2018 09-21-20
erikro
Lösung erikro 03.07.2018 um 09:36:36 Uhr
Goto Top
Moin,

so, das schickst Du jetzt an Toyota. Das Server-Zertifikat kommt warum auch immer nicht an.

Liebe Grüße

Erik
Dennis93
Dennis93 20.07.2018 um 08:58:24 Uhr
Goto Top
Hallo zusammen,

kurzes Feedback von meiner Seite. Habe die Meldungen an Toyota weitergegeben, die haben die MTU Size auf ihrem Tunnel in der Hauptstelle angepasst auf 1386 und schon läuft es ohne Probleme.
Schade, dass man dort immer so lange auf eine Antwort warten muss und es am Ende nur so eine Kleinigkeit war. Aber hauptsache es läuft! face-smile

LG Dennis
SeaStorm
SeaStorm 20.07.2018 um 09:02:53 Uhr
Goto Top
Solange es läuft. Danke für das Feedback. Das hilft sicherlich dem einen oder anderen, der hier mal per Google aufschlägt
erikro
erikro 20.07.2018 um 10:09:36 Uhr
Goto Top
Moin,

herzlichen Glückwunsch an die Kollegen von Toyota. ;)

Liebe Grüße

Erik