christianschwarz65
Goto Top

Seite kann mit http aufgerufen werden, aber nicht mit https

Hallo,

wir haben Server in der DMZ. Diese Server haben in der hosts den Eintrag 192.168.1.70 xyz.domaene.de.
Das ist notwendig, sonst müssten wir die Server nach extern auf die Seite xyz.domaene lassen.

Auf dem Server 192.168.1.70 läuft ein Webbrowser der für externe xyz.domaene.de zur Verfügung stellt.

Aktuell habe ich zwei Server von denen aus URL xzy.domaene.de per http aufgerufen werden kann, aber nicht per https

Bei weiteren 6 Servern funktioniert das aber. Die Server sind alle Windows 2019.

Über Google habe ich schon gesucht aber die Maßnahmen die da geschildert werden haben nicht geholfen.

Danke, Christian

Content-Key: 5907977723

Url: https://administrator.de/contentid/5907977723

Printed on: May 29, 2024 at 06:05 o'clock

Member: tech-flare
tech-flare Oct 24, 2023 at 14:46:58 (UTC)
Goto Top
Zitat von @christianschwarz65:

Hallo,
Hallo
wir haben Server in der DMZ. Diese Server haben in der hosts den Eintrag 192.168.1.70 xyz.domaene.de.

Ok?!
Das ist notwendig, sonst müssten wir die Server nach extern auf die Seite xyz.domaene lassen.
Nein, stimmt nicht. Stichwort Split DNS.


Auf dem Server 192.168.1.70 läuft ein Webbrowser der für externe xyz.domaene.de zur Verfügung stellt.
Webbrowser oder Webserver?

Aktuell habe ich zwei Server von denen aus URL xzy.domaene.de per http aufgerufen werden kann, aber nicht per https
Ok… die Server stehen von? In Trinidad? China? USA, oder auch in der DMZ?

Welche Fehlermeldung erscheint? Was sagt der log? Welcher Browser?

Bei weiteren 6 Servern funktioniert das aber. Die Server sind alle Windows 2019.
Die stehen wo?

Über Google habe ich schon gesucht aber die Maßnahmen die da geschildert werden haben nicht geholfen.
Dann sind das die falschen Maßnahmen

Danke, Christian
Member: em-pie
em-pie Oct 24, 2023 at 14:47:55 (UTC)
Goto Top
Moin,

Bei der ausgeprägten Informationslage:
Die zentrale Firewall blockt den Port 443 für die beiden Server.
Ansonsten wäre eine konkrete Fehlermeldung toll face-wink

wir haben Server in der DMZ. Diese Server haben in der hosts den Eintrag 192.168.1.70 xyz.domaene.de.
Kann man so machen, ist aber Mist.

Das ist notwendig, sonst müssten wir die Server nach extern auf die Seite xyz.domaene lassen.
Wer spielt denn im LAN den DNS?
Wenn es ein brauchbarer Server (und nicht die Firewall) ist: neue Zone „xyz.domaene.de“ anlegen. Dann einen neuen HostA Record anlegen, der keinen Namen enthält, aber die IP 192.168.1.70. Das reicht dann vollkommen und ist deutlich pflegeleichter.
Member: Vision2015
Vision2015 Oct 24, 2023 at 17:24:22 (UTC)
Goto Top
Moin...
Zitat von @christianschwarz65:

Hallo,

wir haben Server in der DMZ. Diese Server haben in der hosts den Eintrag 192.168.1.70 xyz.domaene.de.
Das ist notwendig, sonst müssten wir die Server nach extern auf die Seite xyz.domaene lassen.
das ist nicht notewendig, Split DNS ist dein Freund!
wenn du deine Host dateien mal vergisst, suchst du Fehler ohne ende....

Auf dem Server 192.168.1.70 läuft ein Webbrowser der für externe xyz.domaene.de zur Verfügung stellt.
ein Webbrowser stellt keine seiten zu verfügung, ein webserver schon!

Aktuell habe ich zwei Server von denen aus URL xzy.domaene.de per http aufgerufen werden kann, aber nicht per https
warum nicht?

Bei weiteren 6 Servern funktioniert das aber. Die Server sind alle Windows 2019.
und wo stehen die 6 Server?

Über Google habe ich schon gesucht aber die Maßnahmen die da geschildert werden haben nicht geholfen.

Danke, Christian
Frank
Member: christianschwarz65
christianschwarz65 Oct 25, 2023 at 06:00:11 (UTC)
Goto Top
Danke für die Antworten: Sorry ich bin jetzt nicht so fit wie man Eure Antworten markieren kann und ich meine Antwort darunterschreiben kann - werde mich damit befassen:

@em-pi

Ich dachte die Informationslage ist ausreichend - aber da habe ich mich getäuscht

Firewall ist auf den DMZ-Servern deaktiviert

Fehlermeldung: Die Seite kann nicht erreicht werden

Der DNS sind die internen DCs - das mit der Zone werde ich machen - auf die Idee bin ich nicht gekommen

@Frank


Habe mich falsch ausgedrückt: Der Webbrowser ruft die Seite auf - mir ist schon klar dass ein Webbrowser keine Seiten zur Verfügugn stellt

Warum die Seiten nur per http und https aufgerufen werden können ist ja die Frage

Die anderen 6 Server stehen auch in der DMZ
Member: em-pie
em-pie Oct 25, 2023 at 06:28:08 (UTC)
Goto Top
@em-pie

Ich dachte die Informationslage ist ausreichend - aber da habe ich mich getäuscht

Firewall ist auf den DMZ-Servern deaktiviert
Ich rede von der Firewall die zwischen LAN und DMZ sitzt.
Ist das ne Sophos, 'nen Cisco, xSense, Lancom, Mikrotik,… ?

Fehlermeldung: Die Seite kann nicht > erreicht werden
Spricht dafür, dass da was zwischen LAN und DMZ blockt.

Der DNS sind die internen DCs - das mit der Zone werde ich machen - auf die Idee bin ich nicht gekommen
Und die Server der DMZ haben Zugriff auf die internen DNS-Server?

Die anderen 6 Server stehen auch in der DMZ
Das heißt, alle 9 Server stehen in der DMZ (6 Server die gehen, 1 Webserver und 2 Sorgen-Server)? Oder nur 7 Server, weil die beiden Sorgen-Server im LaN stehen?
Member: christianschwarz65
christianschwarz65 Oct 25, 2023 at 10:29:09 (UTC)
Goto Top
Dann versuche ich noch die Informationen zu konkretisieren:

7 Server in der DMZ
Zwischen DMZ und LAN ist eine Palo Alto
5 Server können https://xyz.domaene.de aufrufen, zwei Server nicht.
Alle haben die gleichen DNS-Server eingetragen
Alle haben den selben hosts-Eintrag

DNS-Split habe ich gerade versucht. Allerdings komme ich dann mit meinen internen Clients die im LAN sitzen nicht mehr auf https://xyz.domaene.de, warum auch immer. Die IP die hinter xyz.domaene.de steckt ist aus dem LAN erreichbar.
Member: christianschwarz65
christianschwarz65 Oct 25, 2023 at 12:21:39 (UTC)
Goto Top
Jetzt habe ich den EDGE installiert - jetzt kann ich diese https://xyz.domaene.de aufrufen
Member: christianschwarz65
christianschwarz65 Oct 25, 2023 at 12:45:45 (UTC)
Goto Top
Der EDGE kann jetzt die Seite aufrufen, aber das Programm Fastviewer, das eine Verbindung zu https://fernwartung.memmingen.de aufbaut, kann diese nicht aufbauen.

Bei den anderen 5 Servern in der DMZ geht es aber
Member: em-pie
em-pie Oct 25, 2023 at 12:51:00 (UTC)
Goto Top
Ich würde mir ja mal die Palo Alto vornehmen und da ins Log schauen…
Member: christianschwarz65
Solution christianschwarz65 Oct 25, 2023 at 13:35:31 (UTC)
Goto Top
Jetzt läuft die Anwendung - ich habe unter HKLM\System\Current Control Set\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms die Schlüssel gelöscht - jetzt kann eine Verbindung aufgebaut werden

Danke für Eure Hilfe
Member: Dani
Dani Oct 25, 2023 at 19:44:28 (UTC)
Goto Top
Moin,
ich habe unter HKLM\System\Current Control Set\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms die Schlüssel gelöscht
da hat wohl jemand an den Cipher Suites gespielt und nicht dokumentiert. Ist dazu im Logfile des Webservers nicht protokolliert worden?


Gruß,
Dani
Member: christianschwarz65
christianschwarz65 Oct 26, 2023 at 05:47:46 (UTC)
Goto Top
Kann ich dir nicht sagen - ich bin ehrlich ich habe keine Ahnung was da ist
Wir haben Fremdfirmen die hier Software installieren und was die machen bekommen wir nicht mit
Dokumentiert wird von denen eh nichts
Member: Dani
Dani Oct 29, 2023 at 11:44:11 (UTC)
Goto Top
Moin,
Wir haben Fremdfirmen die hier Software installieren und was die machen bekommen wir nicht mit
das ist natürlich unschön. Weil schlussendlich tragt ihr die Verantwortung und nicht der Dienstleister.

Dokumentiert wird von denen eh nichts
Ja gut, wenn es nicht beauftragt wird, wird auch nichts aufgeschrieben.


Gruß,
Dani