Zugriff auf internen Server wird blockiert - http://Server/

Die Namensauflösung (und sicher auch die Categorie/Gültigkeitsprüfung von AV&FW) haben sicher mit NetBios-Namen/ einfachen Hostnamen ein Problem.

Wie sieht es denn aus, wenn der Server mit FQHN angesprochen wird ( http://server1.interne.domain )?

KarstenFL said:

Daher gehe ich davon aus, dass es mit Gruppenzuordnung zu tun hat.

Wohl eher mit einem DNS-Problem im Intranet

Schon mal danke für eure Antworten.

Dirk: Wenn ich den Server mit FQHN aufrufe, kommt auch die Fehlermeldung.

R.Richter: Das ist auch möglich, was die Fehlermeldung ja auch sagen will. Doch habe ich am DNS keine Änderung vorgenommen.

Ich habe jetzt nochmal alle Aufzeichnungen rückwärts durchgearbeitet, was ich geändert habe, seit es das letzte Mal funktioniert hat.
Tatsächlich habe ich nur die Proxy Einstellungen einiger Kollegen verändert. Diese arbeiten auf einem Terminalserver und sowohl bei Edge, wie auch bei Firefox, ist nun die Firewall als Proxy angegeben. Bei den Kollegen, die noch Zugriff auf die Seite haben, ist kein Proxy hinterlegt. 

Folglich müsste das Problem dort zu finden sein. Was natürlich nicht bedeutet, dass ich es heute morgen gleich lösen konnte. 

Ich werde daher ein DNS Problem erstmal ausschließen. Stattdessen gehe ich davon aus, dass man diese Seite irgendwo auf der FW freigeben muss. Da wir das Gerät jedoch erst seit Kurzem im Einsatz haben, sind da viele Einstellungen für mich noch nicht auffindbar.

Falls noch jemand eine Anregung hat, würde ich mich freuen.
Auf jeden Fall berichte ich, wie es weiter geht.

Nachtrag:

Wenn man http://server1/ aufruft, kommt die oben genannte Fehlermeldung.
Wenn man server1.domäne/ aufruft, kommt die oben genannte Fehlermeldung.
Wenn man server1.domäne.local/ aufruft (voller Domänen Name), kommt eine andere Fehlermeldung.

Gleiches kommt, wenn man den Server via IP anspricht.

Muss ich dafür einen Webserver einrichten? Oder muss man den in den Regeln irgendwo freigeben?
Da wir die FW erst seit Kurzem haben, sind hier noch viele Fragezeichen für mich. 

ok,

wird die Anfrage mit der Brechstange zu Proxy geprügelt, kann der Browser natürlich lokal nichts mehr ausrichten.

Den/die angesprochenen Namen müsste der Proxy mit "interner IP" auflösen können. Dazu wären auf der FW statische DNS-Einträge oder Policy-DNS nötig.

Es könnte aber auch in den Browsern eine Proxy-Ausnahme für die betroffenen Namen eingerichtet werden, sodass diese gar nicht erst zum Proxy geschickt werden. 

KarstenFL said:

Tatsächlich habe ich nur die Proxy Einstellungen einiger Kollegen verändert. Diese arbeiten auf einem Terminalserver und sowohl bei Edge, wie auch bei Firefox, ist nun die Firewall als Proxy angegeben. Bei den Kollegen, die noch Zugriff auf die Seite haben, ist kein Proxy hinterlegt.

Mal nur so am Rande, wozu brauchen den manche Kollegen einen Proxy und andere nicht? Und was/wer spielt denn bei Dir den Proxyserver? Die Sophos?

Kurzfristige Lösung: Ich habe für die betroffenen Benutzer in der GPO deren Anwendung abgelehnt. Sie verwenden also im Edge nicht mehr den Proxy.

Trotzdem möchte ich natürlich eine sinnvolle Lösung für das Problem finden und auch verstehen (was ja immer von Vorteil ist).

Richter: Ja, die FW ist als Proxy angegeben. Hintergrund ist, dass wir Terminalserver einsetzen. Dabei haben wir das Problem, dass Sophos nicht in der Lage ist, die Benutzer einzeln zu identifizieren. In Central werden die Benutzer nicht erkannt. Und in der GW heißt es nur "Unidentified". Durch die Verwendung des Proxys (FW) wird jetzt zumindest der Internetaufruf via Firefox und Edge identifiziert. Denn die beiden Browser erkennen sehr wohl den Windows-Benutzer.

Dirk: Wir haben bei Netzwerk - DNS - statische DNS1 und DNS2 unsere beiden Domain-Controller (DC1 und DC2) hinterlegt. Damit sollte die FW doch beim DC1 wegen der DNS von Server1 "nachfragen". Oder verstehe ich dies falsch?

Im DC1 ist der Server1 richtig hinterlegt (hier haben wir nichts angefasst). Denn für Benutzer, auf welche die GPO (Proxy in Edge aktivieren) nicht angewandt wird, ist die Webseite vom Server1 normal erreichbar. 

Wie müsste ich der FW denn erklären, dass sie den Server1 ansprechen kann? Ich wäre jetzt unter Netzwerk - DNS - DNS-Host-Eintrag gegangen und hätte dort folgendes eingetragen:
Host: Server1.domäne.local
Eintragungstyp: Manuell
IP-Adresse: 192.168.1.216 (die IP des Server1 in meinem Beispiel)
Time-to-live: 60
Gewichtung: 1
WAN: aus
Umgekehrte DNS-Suche: an

Siehe: docs.sophos.com/.../index.html

mit

nslookup

server (ip von Dc1)

servver1

... sollte die IP des internen Servers geliefert werden ... falls nicht, noch mal voll qualifiziert probieren.

... ABER: die internen Geräte - oder besser die interne Domain in die Ausnahmeliste aufzunehmen - ist eine erprobte Maßnahme, um "interne Ressourcen" nicht über den für die Absicherung externer Zugriffe vorgesehenen Proxy zu leiten.

Mit nslookup kommen die richtigen IP Adressen raus. 

Hm, kannst du mir sagen, wie ich denn in der FW den internen Bereich oder einzelne interne Server freigeben kann, dass sich nicht über den Proxy laufen?
Ich hatte dies in den GPO Einstellungen für den Edge versucht. allerdings ohne Erfolg. Dabei hatte ich mich nach den Einstellungen von dieser Seite gerichtet: https:// admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::ProxySettings&Language=de-de#

Proxy-Einstellungen/Ausnahmen via GPO-Einstellungen werden wohl immer schwieriger.

Aber weiter kann ich da leider nicht helfen.

Ich glaube, meine Kollegen konfigurieren das derzeit per Hand und übertragen die Einstellungen per registry-Ex-/Import (via GPO)