towerplease
Goto Top

Sicherheitsproblem bei Authentifizierung an anderem DNS-Server

Hallo Admins,

folgende Situation.

Unser Geschäftsführer (Mehrerer Unternehmen), sitzt einmal die Woche bei seiner zweiten Firma. Unsere Firmen sind durch Sophos FWs mittels Site-to-Site VPN miteinander verbunden, es werden keine Ports geblockt -> Traffic geht komplett durch. Wenn er sich via Kabel in seiner zweiten Firma ansteckt und durch deren DHCP Server seine IP, DNS-Server zugewiesen bekommt, scheitert die automatische Authentifizierung an all unseren Servern (Sogar am ERP-Server der auf seine Freigabe keine Authentifizierung benötigt). Wenn ich nur den DNS-Server auf unseren umstelle und sein Notebook neu starte, funktioniert wieder alles wie es soll. Wenn er seine Login Daten manuell einträgt, geht es auch, zumindest für den einen Server. Dies führ natürlich dazu das Outlook, ERP-System sowie Fileserver nicht automatisch verbinden und er mich jede Woche anruft.

Ich habe das Problem nun schon mehrere Male untersucht, habe aber keine Lösung gefunden, selbst das Update KB3167679 was viele schreiben, ist nicht die Ursache.

Unsere DCs bestehen aktuell aus DC1 (Betriebsmaster) -> 2008 R2 und 2x 2016er DCs.
Authentifizierung scheitert an 2008 R2ern genau so wie 2016er.
Problem tritt bei Chef (Win8.1) genau so auf wie bei Win7 und Win10 -> Ist wahrscheinlich ein DNS/DC Problem. (Denke ich zumindest)

Die Authentifizierung scheitert mit der Meldung:
Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifiziert hat, Verbindung aufnehmen können.
Unter Windows 10:
Zur Abwicklung der Authentifizierungsanforderung konnte keine Verbindung mit einem Domänencontroller hergestellt werde. Wiederholen Sie den Vorgang zu einem, späteren Zeitpunkt.

Ich konnte das Problem reproduzieren, in dem ich auf meinem Testrechner (VM) einfach nur als DNS-Server den von Firma2 eingetragen habe.

Vielleicht habt Ihr eine Idee.

Vielen Dank im Voraus!

Gruß Towerplease

Content-ID: 389576

Url: https://administrator.de/forum/sicherheitsproblem-bei-authentifizierung-an-anderem-dns-server-389576.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

erikro
Lösung erikro 16.10.2018 um 10:45:26 Uhr
Goto Top
Moin,

ganz einfach: Auf dem fremden DNS ist die Domain nicht vorhanden und kann nicht aufgelöst werden.

hth

Erik
aqui
Lösung aqui 16.10.2018 um 11:05:44 Uhr
Goto Top
...deshalb ein falsch konfigurierter DNS wie der TO schon selber richtig vermutet face-wink
Spirit-of-Eli
Lösung Spirit-of-Eli 16.10.2018 um 11:12:54 Uhr
Goto Top
Im DNS Server am anderen Standort "Domain Weiterleitung" eintragen.

Der Punkt heißt glaube ich "bedingte Weiterleitung..".
Towerplease
Towerplease 16.10.2018 um 12:17:41 Uhr
Goto Top
Vielen Dank für die Informationen und die Hilfe. Ich möchte gerade einmal deren Domäne/Domänencontroller bei uns hinzufügen, doch ich bekomme die Meldung wenn ich die IP oder den Hostname hinzufüge, dass diese nicht gefunden wurde. Pingen kann ich den DC von denen aber. Muss ich hier etwas beachten?
aqui
Lösung aqui 16.10.2018 aktualisiert um 12:21:20 Uhr
Goto Top
Dann ist auch dein DNS falsch konfiguriert, weil dort deren IP Netze und Hosts vermutlich auch fehlen...?! face-sad
Towerplease
Towerplease 16.10.2018 um 14:14:39 Uhr
Goto Top
Also unser DNS ist nicht für deren Domäne konfiguriert, da von Firma2 niemand zu uns kommt. Ich möchte nur vorher gerne deren Domäne/Netzwerk bei uns im DNS einfügen, bevor ich dem Admin von Firma2 sage was er tun soll. (Habe keinen Zugriff auf Server in Firma2).
Was muss ich noch zusätzlich konfigurieren, damit ich die bedingte Weiterleitung eintragen kann?
Erreichbar sind alle deren Netzwerke durch den Site-to-Site VPN.

Vielen Dank im Voraus!
Towerplease
Towerplease 16.10.2018 um 14:25:03 Uhr
Goto Top
Ich habe es gerade noch einmal Probiert, nun konnte ich den DNS/DC von Firma2 hinzufügen, bekomme aber bei "FQDN" angezeigt "Auflösung nicht möglich"...

Muss Firma2 bei seinem DNS auch erst unseren DC/DNS eintragen?
erikro
Lösung erikro 16.10.2018 um 15:37:58 Uhr
Goto Top
Moin,

Zitat von @Towerplease:

Ich habe es gerade noch einmal Probiert, nun konnte ich den DNS/DC von Firma2 hinzufügen, bekomme aber bei "FQDN" angezeigt "Auflösung nicht möglich"...

Das ist vollkommen irrelevant. Auf Deiner Seite musst Du nichts tun.


Muss Firma2 bei seinem DNS auch erst unseren DC/DNS eintragen?

Ja, das muss er.

1. Möglichkeit:
Das Stichwort "Bedingte Weiterleitung" ist ja schon gefallen. Du musst also den Admin der Firma2 bitten, Deinen DNS-Server als bedingte Weiterleitung einzurichten. Dann leitet der DNS-Server der Firma2 bei Fragen nach Firma1 auf den entsprechenden DNS-Server weiter und es funktioniert.

2. Möglichkeit:
Es wird auf dem DNS-Server eine weitere Forward-Lookup-Zone eingerichtet, die die Informationen zu der Domain der Firma1 enthält. Dann wird noch eine Zonenübertragung eingerichtet, damit der Server der Firma2 auch immer aktuell ist und es funktioniert.

hth

Erik
Towerplease
Towerplease 16.10.2018 um 16:39:15 Uhr
Goto Top
Super,

ich danke Dir!

Ich habe das dem Admin von Firma2 so weitergegeben. Mal schauen was dabei rauskommt. Ich werde das Ergebnis (Ob und wie es genau funktioniert hat) nachträglich hier Posten.

Normals Vielen Dank!

Gruß Towerplease
erikro
erikro 16.10.2018 um 16:45:21 Uhr
Goto Top
Gerne
aqui
aqui 16.10.2018 um 18:48:25 Uhr
Goto Top
Ich werde das Ergebnis (Ob und wie es genau funktioniert hat) nachträglich hier Posten.
Wir sind gespannt... face-smile