11
DNS Auflösung auf SBS2011 funktioniert nicht einwandfrei
Hallo,
bei einem Kunden gibt es folgendes Problem:
Der Webbrowser am Cliente funktioniert eigentlich ganz normal, bei gewissen Webseiten kommt aber die Fehlermeldung :
"Ihre Verbindung ist nicht privat"
Eine dieser Webseiten ist z.B. www.fixkostenzuschuss.at
Hierzu habe ich mal ein Bild angehängt.
Es handelt sich bei dem Netzwerk um ein Domänennetzwerk mit einem Microsoft SBS2011 Server und Windows 10 Clients.
Am Server und den Clients läuft der Kaspersky Endpoint Security, welchen ich auch schon versucht habe zu deaktivieren - ohne Erfolg.
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
Der Server wurde bereits neu gestartet - deshalb denke ich es handelt sich um einen permanenten Fehler.
Ich bitte Euch höflich um Hilfe.
LG Marko
bei einem Kunden gibt es folgendes Problem:
Der Webbrowser am Cliente funktioniert eigentlich ganz normal, bei gewissen Webseiten kommt aber die Fehlermeldung :
"Ihre Verbindung ist nicht privat"
Eine dieser Webseiten ist z.B. www.fixkostenzuschuss.at
Hierzu habe ich mal ein Bild angehängt.
Es handelt sich bei dem Netzwerk um ein Domänennetzwerk mit einem Microsoft SBS2011 Server und Windows 10 Clients.
Am Server und den Clients läuft der Kaspersky Endpoint Security, welchen ich auch schon versucht habe zu deaktivieren - ohne Erfolg.
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
Der Server wurde bereits neu gestartet - deshalb denke ich es handelt sich um einen permanenten Fehler.
Ich bitte Euch höflich um Hilfe.
LG Marko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 642564
Url: https://administrator.de/contentid/642564
Printed on: April 19, 2024 at 01:04 o'clock
11 Comments
Latest comment
Auf dem SBS2011 läuft scheinbar irgendein DNS Proxy, vielleicht wird es auch schon vom SBS2011 eigenen DNS Server generiert.
Versuche einen anderen Browser (z.B. Chrome). Mit etwas Glück hast du unten ein Button "trotzdem ausführen". Wenn die Seite geladen ist, kontrolliere das Zertifikat. Im Zertifikat erkennt man wer es ausgestellt hat und die Domain, dann kannst du erahnen welches Programm dafür in Frage kommt. Vielleicht zeigt es dir auch schon Kasersky in irgendeinem Log an. Auf jeden Fall läuft das Proxy Programm auf dem SBS2011, den du übrigens sowieso auf einen neueren Server migrieren musst.
Versuche einen anderen Browser (z.B. Chrome). Mit etwas Glück hast du unten ein Button "trotzdem ausführen". Wenn die Seite geladen ist, kontrolliere das Zertifikat. Im Zertifikat erkennt man wer es ausgestellt hat und die Domain, dann kannst du erahnen welches Programm dafür in Frage kommt. Vielleicht zeigt es dir auch schon Kasersky in irgendeinem Log an. Auf jeden Fall läuft das Proxy Programm auf dem SBS2011, den du übrigens sowieso auf einen neueren Server migrieren musst.
Hallo,
also auch mit einem anderen Browser funktioniert die Website nicht.
Wie und wo kann man den DNS Proxy am SBS2011 deaktivieren?
Im Zertifikat steht, dass diese von der vorhandenen Firewall ausgestellt wird und gültig ist.
Warum aber soll die Firewall das Zertifikat ausstellen?
Wie gesagt, wenn man den DNS vom Provider am Client einträgt, funktioniert die Website.
Der Server wird auch bald getauscht, aber bis dahin sollte alles funktionieren.
Vielen Dank
also auch mit einem anderen Browser funktioniert die Website nicht.
Wie und wo kann man den DNS Proxy am SBS2011 deaktivieren?
Im Zertifikat steht, dass diese von der vorhandenen Firewall ausgestellt wird und gültig ist.
Warum aber soll die Firewall das Zertifikat ausstellen?
Wie gesagt, wenn man den DNS vom Provider am Client einträgt, funktioniert die Website.
Der Server wird auch bald getauscht, aber bis dahin sollte alles funktionieren.
Vielen Dank
Zitat von @Markowitsch:
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
dann schau Dir doch einmal die Antworten an.
nslookup www.fixkostenzuschuss.at
nslookup www.fixkostenzuschuss.at 8.8.8.8
Dann prüfe wo der SBS-Opa seine DNS-Anfragen hin weiterleitet (Weiterleitung im DNS-Server, nicht bei der Netzwerkkarte).
Der Server wird auch bald getauscht, aber bis dahin sollte alles funktionieren.
Den finde ich gut 
Mein Auto hat zwar seit 12 Monaten keinen TÜV und die Bremsen hätte vor 6 Monate gemacht werden sollen, aber im Sommer bekomme ich ein neues Auto und bis dahin muss es funktionieren.
Stefan
Zitat von @StefanKittel:
dann schau Dir doch einmal die Antworten an.
nslookup www.fixkostenzuschuss.at
nslookup www.fixkostenzuschuss.at 8.8.8.8
Dann prüfe wo der SBS-Opa seine DNS-Anfragen hin weiterleitet (Weiterleitung im DNS-Server, nicht bei der Netzwerkkarte).
Zitat von @Markowitsch:
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
Am Client ist ja als DNS Server die IP Adresse des SBS2011 eingetragen.
Wenn ich nun am Client den DNS Server auf den vom Provider oder Google ändere, funktioniert die Website ohne Probleme.
Daher muss der Fehler am SBS2011 liegen, aber wo genau könnte hier der Fehler liegen?
dann schau Dir doch einmal die Antworten an.
nslookup www.fixkostenzuschuss.at
nslookup www.fixkostenzuschuss.at 8.8.8.8
Dann prüfe wo der SBS-Opa seine DNS-Anfragen hin weiterleitet (Weiterleitung im DNS-Server, nicht bei der Netzwerkkarte).
Stefan
Wie prüfe ich, wohin die DNS Anfrage weitergeleitet wird?
Im Zertifikat steht, dass diese von der vorhandenen Firewall ausgestellt wird und gültig ist.
Da bist du doch schon fast am Ziel. Prüfe von "wem" das Zertifikat ausgestellt wurde und "welche" Domain im Zertifikat zu sehen ist.
Hast Du schlicht mal am Client die beiden nslookup Befehle eingegeben?
Dann, wie beschrieben, die Weiterleitung im DNS-Server am SBS prüfen.
Stefan
Dann, wie beschrieben, die Weiterleitung im DNS-Server am SBS prüfen.
Stefan
Moin,
Vorab: ich bin der Meinung, das das kein DNS Problem ist!
Der Fehler im Browser "Common Name Invalid" deutet auch darauf hin. Poste doch mal das Cert und den Cert-Pfad.
Oder wende dich an den/die FW-Admin
lg,
Slainte
Vorab: ich bin der Meinung, das das kein DNS Problem ist!
Im Zertifikat steht, dass diese von der vorhandenen Firewall ausgestellt wird und gültig ist.
Warum aber soll die Firewall das Zertifikat ausstellen?
Damit die FW SSL verschlüsselten Traffik kontrollieren kann muss die TLS aufgebrochen und neu verschlüssel werden. Dazu läuft auf der FW i.d.R. eine (Sub)CA - dieser, oder der ausstellenden Root CA, müssen alle Clients vetrauen.Warum aber soll die Firewall das Zertifikat ausstellen?
Der Fehler im Browser "Common Name Invalid" deutet auch darauf hin. Poste doch mal das Cert und den Cert-Pfad.
Oder wende dich an den/die FW-Admin
lg,
Slainte
Der Webbrowser am Cliente funktioniert eigentlich ganz normal, bei gewissen Webseiten kommt aber die Fehlermeldung :
"Ihre Verbindung ist nicht privat"
Eine dieser Webseiten ist z.B. www.fixkostenzuschuss.at
Hierzu habe ich mal ein Bild angehängt.
"Ihre Verbindung ist nicht privat"
Eine dieser Webseiten ist z.B. www.fixkostenzuschuss.at
Hierzu habe ich mal ein Bild angehängt.
[HSTS Fehlermeldung]
Das ist in der Regel kein DNS Problem sondern deutet auf Probleme mit dem Zertifikatshandling hin.
Gründe könnten u. a.
- Probleme bei den Zertifikaten der aufgerufenen Seite
- Fehlerhafte Browser Daten für HSTS/HPKP
- MITM Angriff eines lokalen HTTPS Proxies auf die verschlüsselte Verbindung
sein
Das ist in der Regel kein DNS Problem sondern deutet auf Probleme mit dem Zertifikatshandling hin.
Auch, wenn es dann funktioniert, wenn er den DNS Server auf 8.8.8.8 wechselt?Auch, wenn es dann funktioniert, wenn er den DNS Server auf 8.8.8.8 wechselt?
Ich nehme an. das die unbekannte Firewall das (uns ebenfalls unbekannte) Zertifikat aus Clientsicht nicht korrekt ausstellt. Ggfs . "macht" die FW auch was mit den DNS Antworten... wer weis
Ich habe nun ein Update für den Kaspersky Endpoint Security installiert und anschließend den Server neu gestartet.
Nun funktioniert wieder alles einwandfrei.
Danke für Eure Hilfe
LG Marko
Nun funktioniert wieder alles einwandfrei.
Danke für Eure Hilfe
LG Marko
