porfavor
Goto Top

Work Folders interne URL möglich?

Hallo,

aktuell habe ich Windows Arbeitsordner über eine externe URL (https://domain.dyndnsurl.de) eingerichtet. Das führt dazu, dass ich remote Zugriff auf Arbeitsordner habe, obwohl ich nicht per VPN verbunden bin.

Kann ich alternativ das Ganze auch so einrichten, dass der Zugriff über https://meinserver.meinedomain.local erfolgt, sodass der Zugriff intern erfolgt? Ein testweiser Zugriff über diese Adresse (am Android-Client, da dort keine GPO gesetzt ist) hat nicht funktioniert. Vielleicht liegt das aber ja auch irgendwie am SSL-Zertifikat?

Vielen Dank für eure Hilfe.

Content-ID: 579890

Url: https://administrator.de/contentid/579890

Printed on: October 6, 2024 at 19:10 o'clock

erikro
erikro Jun 17, 2020 at 18:50:33 (UTC)
Goto Top
Moin,

Zitat von @Porfavor:
aktuell habe ich Windows Arbeitsordner über eine externe URL (https://domain.dyndnsurl.de) eingerichtet. Das führt dazu, dass ich remote Zugriff auf Arbeitsordner habe, obwohl ich nicht per VPN verbunden bin.

Das heißt, jeder kann darauf zugreifen. Das solltest Du abstellen.

Kann ich alternativ das Ganze auch so einrichten, dass der Zugriff über https://meinserver.meinedomain.local erfolgt, sodass der Zugriff intern erfolgt? Ein testweiser Zugriff über diese Adresse (am Android-Client, da dort keine GPO gesetzt ist) hat nicht funktioniert. Vielleicht liegt das aber ja auch irgendwie am SSL-Zertifikat?

Fehlermeldung? Protokolle? So kann ich nur die Glaskugel polieren und vermuten, dass das mit dem SSL keine schlechte Idee ist. Wenn der Server domain.dyndnsurl.de im Zertifikat vorlegt, der Server aber meinserver.meinedomain.local (btw local ist auch eine schlechte Idee) heißt, dann löpt dat nich. Der im Zertifikat vermerkte Servername muss mit dem in der URL übereinstimmen.

Liebe Grüße

Erik
BirdyB
BirdyB Jun 17, 2020 at 19:06:37 (UTC)
Goto Top
Moin,

Split-DNS oder Hairpin-NAT sind keine Option? Dann brauchst du egal von wo nur eine Domain.

VG
Porfavor
Porfavor Jun 17, 2020 updated at 20:29:05 (UTC)
Goto Top
Vielen Dank! Ja, genau...deswegen will ich das ja abstellen. VPN ist ja vorhanden.

Mittlerweile ist mir auch klar, dass es am Zertifikat liegt.

Leider bekomme ich das aber irgendwie nicht wirklich hin. Also das Binding im IIS erscheint mir problemlos. Aber hinsichtlich Certification Authority und Certlm.msc stehe ich etwas auf dem Schlauch. Ich habe ein Zertifikat erstellt. Aber und eingebunden, dennoch funktioniert es nicht. Es muss also wohl etwas am Zertifikat falsch sein.

Es ist hinzugefügt unter Personal mit den Werten "Issued to workfolders.domain.local" und "Issued by win-SERVERNAME-CA" und ich kann das im IIS eben auswählen und einbinden.

Ich tu mich leider mit Zertifikaten immer wieder schwer.

Wo muss also der Servername im Zertifikat vermerkt sein?
Herbrich19
Herbrich19 Jun 17, 2020 at 23:33:52 (UTC)
Goto Top
Gepriesen sei das Rauhe Haus,

Wenn du eine Windows CA Installierst musst du schauen ob diese auch als Vertrauenswürdige Stamm Zertifizierungsstelle hinterlegt ist auf den Clienten. In Domänen macht Active Directory das in so weit automatisch als das eine GPO zum Verteilen des Zertifikates erstellt wird.

Anonsten auf http://<zertifizierungsstellenserver>/certsrv gehen und dort das Zertifikat herunterladen. Wichtig ist wenn die öffentlich eingesetzt werden soll (im Internet) wäre gut wenn du die CRL Links der CA so abänderst das die Daten über HTTP von übers Internet abgerufen werden. Ist auch wichtig für Externe Clienten damit Zurückgezogene Zertifikate auch gespeert werden.

LG, J Herbrich