Windows: DNS-Auflösung / autodiscover

greystone

Member
Hi,

ich habe hier gerade ein interessantes Problem:

An einem Kundenstandort hat die Administration ein Active-Directory im Einsatz und die AD-Domäne heisst so wie die extern aktiv genutzte Hauptdomain des Kunden. Ist blöd, aber nur mit sehr viel Aufwand zu ändern. Folge: DNS für diese Domain wird extern und intern unterschiedlich aufgelöst. Intern wird dies normalerweise korrekt durch den internen DNS-Server korrekt aufgelöst und extern korrekt durch den externen DNS-Server.

Dann gibt es einen DNS-Eintrag der lautet autodiscover.einedomain.de. Der Eintrag wird extern auf eine Public-IP aufgelöst, was auf eine Firewall trifft, die das dann auf einen Exchange leitet per NAT. Alles gut.

Intern löst der DNS dann den Eintrag auf die interne IP-Adresse auf und der Exchange kann direkt erreicht werden. Alles gut.

Nur jetzt ist ein Outlook(auf einer VM) da, dass intern steht und irgendwie die externe IP bekommt, damit ans Default-GW geht(=Firewall). Die Firewall sieht ja: Hey das ist für mich. Da aber das NAT von intern nicht greift, geht es auf den Webserver der Firewall. Der hat auch ein SSL-Zertifikat. Aber eben keines das zu autodiscover.einedomain.de passt. Dementsprechend bekommt der Benutzer eine Fehlermeldung, dass es ein Problem mit dem Zertifikat von autodiscover.einedomain.de gibt.

Der eingetragene DNS-Server der VM ist korrekt(2 x interne DNS-Server, die den Eintrag beide korrekt auflösen).

Jetzt frage ich mich, wie die VM da auf den externen DNS-Eintrag kommen kann? Ich habe jetzt noch nicht den Verbindungsaufbau gesnifft, ob da vielleicht irgendetwas einen DNS-Request auf externe DNS-Server macht, oder ob da vielleicht irgendwie ein DoH aktiv sein könnte.

Das ganze ist jetzt bisher nur jeweils 1 Mal bei 2 Systemen aufgetreten. Ich habe evtl. noch den Verdacht, dass da über ein Windows Update sich vielleicht an der DNS-Auflösung etwas geändert haben könnte.

Habt Ihr eine Idee, was das sein könnte?

Viele Grüße & Danke im Voraus!
 
Last edited:

danton

Debian User
Mit nslookup auf der VM hast du schon geprüft, ob da die Namensauflösung korrekt funktioniert? Ist auf der VM irgendeine Security Suite installiert? Die biegen ja manchmal auch einiges an Requests um.
 

greystone

Member
@danton: Danke. Ich habe selbst aktuell keinen Zugriff auf die VM. Security Dingens wird da mit Sicherheit drauf installiert sein. Ich checke das mal.
 
Top