Sicherheitsproblem bei Authentifizierung an anderem DNS-Server
Hallo Admins,
folgende Situation.
Unser Geschäftsführer (Mehrerer Unternehmen), sitzt einmal die Woche bei seiner zweiten Firma. Unsere Firmen sind durch Sophos FWs mittels Site-to-Site VPN miteinander verbunden, es werden keine Ports geblockt -> Traffic geht komplett durch. Wenn er sich via Kabel in seiner zweiten Firma ansteckt und durch deren DHCP Server seine IP, DNS-Server zugewiesen bekommt, scheitert die automatische Authentifizierung an all unseren Servern (Sogar am ERP-Server der auf seine Freigabe keine Authentifizierung benötigt). Wenn ich nur den DNS-Server auf unseren umstelle und sein Notebook neu starte, funktioniert wieder alles wie es soll. Wenn er seine Login Daten manuell einträgt, geht es auch, zumindest für den einen Server. Dies führ natürlich dazu das Outlook, ERP-System sowie Fileserver nicht automatisch verbinden und er mich jede Woche anruft.
Ich habe das Problem nun schon mehrere Male untersucht, habe aber keine Lösung gefunden, selbst das Update KB3167679 was viele schreiben, ist nicht die Ursache.
Unsere DCs bestehen aktuell aus DC1 (Betriebsmaster) -> 2008 R2 und 2x 2016er DCs.
Authentifizierung scheitert an 2008 R2ern genau so wie 2016er.
Problem tritt bei Chef (Win8.1) genau so auf wie bei Win7 und Win10 -> Ist wahrscheinlich ein DNS/DC Problem. (Denke ich zumindest)
Die Authentifizierung scheitert mit der Meldung:
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Unter Windows 10:
Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werde. Wiederholen Sie den Vorgang zu einem, späteren Zeitpunkt.
Ich konnte das Problem reproduzieren, in dem ich auf meinem Testrechner (VM) einfach nur als DNS-Server den von Firma2 eingetragen habe.
Vielleicht habt Ihr eine Idee.
Vielen Dank im Voraus!
Gruß Towerplease
folgende Situation.
Unser Geschäftsführer (Mehrerer Unternehmen), sitzt einmal die Woche bei seiner zweiten Firma. Unsere Firmen sind durch Sophos FWs mittels Site-to-Site VPN miteinander verbunden, es werden keine Ports geblockt -> Traffic geht komplett durch. Wenn er sich via Kabel in seiner zweiten Firma ansteckt und durch deren DHCP Server seine IP, DNS-Server zugewiesen bekommt, scheitert die automatische Authentifizierung an all unseren Servern (Sogar am ERP-Server der auf seine Freigabe keine Authentifizierung benötigt). Wenn ich nur den DNS-Server auf unseren umstelle und sein Notebook neu starte, funktioniert wieder alles wie es soll. Wenn er seine Login Daten manuell einträgt, geht es auch, zumindest für den einen Server. Dies führ natürlich dazu das Outlook, ERP-System sowie Fileserver nicht automatisch verbinden und er mich jede Woche anruft.
Ich habe das Problem nun schon mehrere Male untersucht, habe aber keine Lösung gefunden, selbst das Update KB3167679 was viele schreiben, ist nicht die Ursache.
Unsere DCs bestehen aktuell aus DC1 (Betriebsmaster) -> 2008 R2 und 2x 2016er DCs.
Authentifizierung scheitert an 2008 R2ern genau so wie 2016er.
Problem tritt bei Chef (Win8.1) genau so auf wie bei Win7 und Win10 -> Ist wahrscheinlich ein DNS/DC Problem. (Denke ich zumindest)
Die Authentifizierung scheitert mit der Meldung:
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Unter Windows 10:
Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werde. Wiederholen Sie den Vorgang zu einem, späteren Zeitpunkt.
Ich konnte das Problem reproduzieren, in dem ich auf meinem Testrechner (VM) einfach nur als DNS-Server den von Firma2 eingetragen habe.
Vielleicht habt Ihr eine Idee.
Vielen Dank im Voraus!
Gruß Towerplease
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389576
Url: https://administrator.de/forum/sicherheitsproblem-bei-authentifizierung-an-anderem-dns-server-389576.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Das ist vollkommen irrelevant. Auf Deiner Seite musst Du nichts tun.
Muss Firma2 bei seinem DNS auch erst unseren DC/DNS eintragen?
Ja, das muss er.
1. Möglichkeit:
Das Stichwort "Bedingte Weiterleitung" ist ja schon gefallen. Du musst also den Admin der Firma2 bitten, Deinen DNS-Server als bedingte Weiterleitung einzurichten. Dann leitet der DNS-Server der Firma2 bei Fragen nach Firma1 auf den entsprechenden DNS-Server weiter und es funktioniert.
2. Möglichkeit:
Es wird auf dem DNS-Server eine weitere Forward-Lookup-Zone eingerichtet, die die Informationen zu der Domain der Firma1 enthält. Dann wird noch eine Zonenübertragung eingerichtet, damit der Server der Firma2 auch immer aktuell ist und es funktioniert.
hth
Erik
Zitat von @Towerplease:
Ich habe es gerade noch einmal Probiert, nun konnte ich den DNS/DC von Firma2 hinzufügen, bekomme aber bei "FQDN" angezeigt "Auflösung nicht möglich"...
Ich habe es gerade noch einmal Probiert, nun konnte ich den DNS/DC von Firma2 hinzufügen, bekomme aber bei "FQDN" angezeigt "Auflösung nicht möglich"...
Das ist vollkommen irrelevant. Auf Deiner Seite musst Du nichts tun.
Muss Firma2 bei seinem DNS auch erst unseren DC/DNS eintragen?
Ja, das muss er.
1. Möglichkeit:
Das Stichwort "Bedingte Weiterleitung" ist ja schon gefallen. Du musst also den Admin der Firma2 bitten, Deinen DNS-Server als bedingte Weiterleitung einzurichten. Dann leitet der DNS-Server der Firma2 bei Fragen nach Firma1 auf den entsprechenden DNS-Server weiter und es funktioniert.
2. Möglichkeit:
Es wird auf dem DNS-Server eine weitere Forward-Lookup-Zone eingerichtet, die die Informationen zu der Domain der Firma1 enthält. Dann wird noch eine Zonenübertragung eingerichtet, damit der Server der Firma2 auch immer aktuell ist und es funktioniert.
hth
Erik