[2003 term.srv] certificaat bijv. DigiD wordt niet geladen - Serversoftware en clouddiensten

dinsdag 28 mei 2013 11:22

Acties:

Certified Prutser

Topicstarter

Ik heb wat vreemde problemen met een 2003 terminal server bij een klant.
Het beheer is overgenomen door ons, en de vorige systeembeheerder heeft óf iets heel erg goed gedaan óf aan het prutsen geweest.. Ben er nog niet helemaal over uit

Het grootste probleem is dat de websites mbt DIGID.nl niet werken in Internet Explorer. Wel in FireFox maar ook niet in chrome.. IE zegt dat de site niet gevonden kan worden en de DNS bekeken moet worden. Chrome zegt dat er iets niet in de haak is met het certificaat en stuurt je weg.

Aangezien er een lite versie van PowerFuse op stond heb ik dat allemaal gedeinstalleerd en het op de "normale" manier opgebouwd.
Echter zelfs al laat ik alle aanwezige policies denyen, dan nog kan ik niet op die site komen. Haal ik de machine uit het domein, dan werkt het direct!!

edit:

zit ik in het domein, maar met de local admin ingelogd, failed die site ook.

Ik snap er geen fluit meer van, en hoop dat iemand hier nog een leuke tip heeft. GPRESULT geeft alleen aan dat de local security policy toegepast is. En die heb ik regel voor regel nagelopen.

Er wordt geen gebruik gemaakt van een proxy server oid. De SBS server heeft geen probleem. Er zit echt ergens iets wat de toegang tot die site blocked als je in het domein zit. Maar ik weet niet meer waar te zoeken..

iemand tips wellicht?

[ Voor 3% gewijzigd door RoRoo op 28-05-2013 11:27 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 11:37

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Kijk eens welke policies er allemaal op de OU staan waar de server in zit, en alle onderliggende. Via de Group Policy Management kan je met rapportages zien wat er is ingesteld. Hier moet iets in staan wat je over het hoofd hebt gezien. Bijvoorbeeld een certificaat in de blacklist. Chrome kan dan de systeemcertificaten pakken, terwijl Firefox ze allemaal intern heeft.

Commandline FTW | Tweakt met mate

dinsdag 28 mei 2013 11:49

Acties:

RoRoo

Certified Prutser

Topicstarter

Hero of Time schreef op dinsdag 28 mei 2013 @ 11:37:
Kijk eens welke policies er allemaal op de OU staan waar de server in zit, en alle onderliggende. Via de Group Policy Management kan je met rapportages zien wat er is ingesteld. Hier moet iets in staan wat je over het hoofd hebt gezien. Bijvoorbeeld een certificaat in de blacklist. Chrome kan dan de systeemcertificaten pakken, terwijl Firefox ze allemaal intern heeft.

De OU van de server heeft een door mij aangemaakte policy erin zitten. Daar zit iig geen blokkade, maar als test heb ik die óók ge-exclude zonder resultaat.

Is er een mogelijkheid om één rapport te krijgen van ALLE policies in je domein dat je zo weet?

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 11:53

Acties:

Vorkie

Doe allereerst de update voor Basis Root Certificaten installeren. Mijn vermoeden is dat deze niet geïnstalleerd is.

Controleer ook de HOSTS file of daar geen rare dingen in staan (system32\drivers\etc)

Kijk in INternet Explorer of er niet toevallig Content Rating is ingeschakeld.

dinsdag 28 mei 2013 13:42

Acties:

RoRoo

Certified Prutser

Topicstarter

Vorkie schreef op dinsdag 28 mei 2013 @ 11:53:
Doe allereerst de update voor Basis Root Certificaten installeren. Mijn vermoeden is dat deze niet geïnstalleerd is.

Controleer ook de HOSTS file of daar geen rare dingen in staan (system32\drivers\etc)

Kijk in INternet Explorer of er niet toevallig Content Rating is ingeschakeld.

Thanks voor het meedenken!!
Basis Root is ok, uit het domein halen en de site werkt weer.
Hosts = ok om dezelfde reden.

Content Advisor staat uit.

Het is echt bizar.. Ik laat ze nu maar even FF gebruiken, het onderzoek duurt nu te lang

Op de achtergrond ga ik nog wel effe zoeken naar geblackliste certs etc..
Meer tips altijd welkom

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 13:55

Acties:

Semt-x

Ik kijk altijd eerst wat er fout is, daarna zoek ik een oorzaak;

fout;
Gaat er een belletje rinkelen als iets niet werkt in IE en Chrome, maar wel in FF?
daaraan gelieerd, moet ik direct denken aan proxy instelligen/uitzonderingen.

oorzaak;
Hoe worden instellingen bij jullie zoal doorgevoerd? GPO's, Powerfuse, scripts?

dinsdag 28 mei 2013 14:10

Acties:

RoRoo

Certified Prutser

Topicstarter

Semt-x schreef op dinsdag 28 mei 2013 @ 13:55:
Ik kijk altijd eerst wat er fout is, daarna zoek ik een oorzaak;

fout;
Gaat er een belletje rinkelen als iets niet werkt in IE en Chrome, maar wel in FF?
daaraan gelieerd, moet ik direct denken aan proxy instelligen/uitzonderingen.

oorzaak;
Hoe worden instellingen bij jullie zoal doorgevoerd? GPO's, Powerfuse, scripts?

Zo werk ik ook

Ik dacht in eerste instantie een hosts file, maar dat was het niet.. toen de DNS gechecked, was ook ok. Geen proxy server aanwezig of instellingen daarvoor.
Lijn misschien? de SBS server getest = ok.
MTU size het probleem?? Nee ook niet.
Diverse vage policies aanwezig? Check. Nalopen op wazige settings.. niks echt vreemd aanwezig.

Toen als test de hele machine uit het domein gehaald en lokaal ingelogd. site werkt gewoon. Vervolgens terug in het domein, site werkt niet.. Ook testen door wel in domein, maar lokaal inloggen als admin. Site werkt niet

RES Powerfuse draaide op die bak (maar ook weer half. Zoals ik zei.. of hij heeft lopen prusten of iets heel goed verstopt

), maar heb ik gedeinstalleerd en registry verwijzingen gecleared.
Er werden diverse vb scripts gedraaid, dmv de koppeling met RES Powerfuse. die draaien nu niet meer.

Morgenochtend ga ik de mensen overhevelen naar mijn uitgekleede versie (waar ook het probleem op speelt) van hun terminal server (hoera voor Hyper-V). Deze gebruikt geen Powerfuse, maar gewoon 1 GPO die de beperkingen doet en het startmenu opbouwt etc..

Daarna unlink ik ALLE niet standaard GPO's van de OU's. Dan sluit ik in ieder geval al zo'n 20(!!) group policies uit die een mogelijke oorzaak kunnen zijn.
Misschien helpt dat

Hou jullie op de hoogte. Ik mag hier niet langer naar kijken omdat het teveel tijd (=geld) kost. Maar ik kan het niet uitstaan dat ik het niet vinden kan.. Zoek stiekum verder

is mijn eer te na.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 15:33

Acties:

Verwijderd

Zit er niet iets van een firewall die het blokkeerd. Heb dergelijke dingen ook ervaren met een Netasq U30.

dinsdag 28 mei 2013 15:56

Acties:

RoRoo

Certified Prutser

Topicstarter

Verwijderd schreef op dinsdag 28 mei 2013 @ 15:33:
Zit er niet iets van een firewall die het blokkeerd. Heb dergelijke dingen ook ervaren met een Netasq U30.

Nope, dan zou het niet mogen werken als ik het apparaat uit het domein haal.. Dacht het eerst ook, maar is een default versatel modem

Beperkt tot op het bot qua configuratie.. Server als test al op een ander ip gezet.. geen verschil

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 16:06

Acties:

Verwijderd

IE 10? Dat schijnt nogal wat problemen met GPO te hebben

dinsdag 28 mei 2013 16:11

Acties:

Verwijderd

Kom je gewoon helemaal niet op de site, ook niet via IP?
Als je het via een client doet in het domein (niet via TS) kom je dan wel op de site?
Heb je de geinstalleerde certificaten bekeken op de TS?

dinsdag 28 mei 2013 16:35

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Mensen, lees het topic eens goed door voordat je wat onzin post. Het is niet alleen IE, ook Google Chrome geeft problemen, maar Firefox heeft geen enkele moeite. Dus, DNS is uitgesloten, GPO op IE uitgesloten, etc. Enige wat nog zou kunnen, is de certificaten. Maar dan zou je in IE een iets betere omschrijving moeten krijgen.

Commandline FTW | Tweakt met mate

dinsdag 28 mei 2013 16:46

Acties:

RoRoo

Certified Prutser

Topicstarter

Verwijderd schreef op dinsdag 28 mei 2013 @ 16:06:
IE 10? Dat schijnt nogal wat problemen met GPO te hebben

Tis een 2003 server...

even ter verduidelijking:

IE
Afbeeldingslocatie: http://i1289.photobucket.com/albums/b506/RoRoo1977/Knipsel_zps144fac35.png

Afbeeldingslocatie: http://i1289.photobucket.com/albums/b506/RoRoo1977/Knipsel_zps144fac35.png

Chrome

Afbeeldingslocatie: http://i1289.photobucket.com/albums/b506/RoRoo1977/Knipsel2_zpse119397e.png

[ Voor 29% gewijzigd door RoRoo op 28-05-2013 16:47 ]

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

dinsdag 28 mei 2013 16:48

Acties:

Hero of Time

Moderator LNX

There is only one Legend

En als je met IE naar https://www.digid.nl gaat? Nu staat 't stil op non-SSL. Er lijkt geen redirect te worden toegepast.

Commandline FTW | Tweakt met mate

dinsdag 28 mei 2013 20:45

Acties:

Linke Loe

Op zich wel gek dat je een ongeldig certificaat krijgt, toch? Heb je niet iets van een browser hijack te pakken op die terminal server? Welk certificaat wordt er precies gepresenteerd?

dinsdag 28 mei 2013 20:54

Acties:

Dysmael

Inderdaad. Wil het net al zeggen. Hoe zit dat nu met de certificaatmelding? Wie is de publisher daarvan en waarom wordt het certificaat niet vertrouwd?

Ik vermoed dat de site wel werkt als je deze in de Intranet zone zet maar dat wil je in dit geval juist niet doen aangezien er iets anders aan de hand schijnt te zijn met o.a. het site-certificaat.

Ps.
RES Powerfuse de-installeren is geen slecht idee an sich. Mits je deze vervangt voor RES Workspace Manager (zoals Powerfuse tegenwoordig heet)

Ik vermoed dat je nu hobbymatig beheer aan het uitvoeren bent maar als je van plan bent meer te gaan doen op het vlak van automatisering en Terminal server-omgevingen dan beveel ik je aan je eens te verdiepen in het gebruik van RES Workspace Manager. Dat maakt het beheer van werkplekken een stuk aangenamer en flexibeler.

[ Voor 41% gewijzigd door Dysmael op 28-05-2013 20:59 ]

dinsdag 28 mei 2013 21:00

Acties:

Duinkonijn

Huh?

Als je het root certificaat download en opent, zie je dan foutmeldingen in het cert?
https://www.logius.nl/pro...staat-der-nederlanden-g2/

kom je in je register registraties van digid.nl tegen?

wat staat er in je Default Domain Policy qua instellingen?

[ Voor 44% gewijzigd door Duinkonijn op 28-05-2013 21:17 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

dinsdag 28 mei 2013 21:13

Acties:

KillerAce_NL

If it ain't broke...

RoRoo schreef op dinsdag 28 mei 2013 @ 16:46:
[...]

Tis een 2003 server...

even ter verduidelijking:

IE
[afbeelding]

Chrome
[afbeelding]

Waarom ga je bij de 1 naar http en de ander https ?
Die cert error komt omdat je systeem NIET voorzien is van de roots updates (en waarschijnlijk ook niet de G2 certicaten fix voor 2003 server)., ik zou minder aannemen en meer controleren. Je wil niet weten hoe vaak er iets misgaat door aannames.
Troubleshooten doe je door letterlijk uit te sluiten en weg te strepen

[ Voor 26% gewijzigd door KillerAce_NL op 28-05-2013 21:15 ]

dinsdag 28 mei 2013 21:25

Acties:

Shinji

KillerAce_NL schreef op dinsdag 28 mei 2013 @ 21:13:
[...]
Waarom ga je bij de 1 naar http en de ander https ?

Zonder SSL verwijst door naar met SSL, maar dat gaat bij hem in IE blijkbaar dus fout.

Heb je nadat je de GPO's uit hebt gezet ook IE gereset? Soms wil er wel eens wat blijven hangen heb ik altijd het idee.

dinsdag 28 mei 2013 21:47

Acties:

DYX

Dit probleem komt me bekend voor. DigiD is best wel een tijd geleden (2009) overgegaan op een beter beveiligd certificaat (SHA256). Ik herringer me dat Windows Server 2003 (onze dev omgeving van toen die met DigiD communiceerde) hier niet mee om kon gaan zonder een specifieke hotfix (KB 938397).

Het is maar een gok, maar wie weet helpt het je.
http://blogs.technet.com/.../30/sha2-and-windows.aspx

[ Voor 3% gewijzigd door DYX op 28-05-2013 21:48 ]

dinsdag 28 mei 2013 21:53

Acties:

Linke Loe

DYX schreef op dinsdag 28 mei 2013 @ 21:47:
Dit probleem komt me bekend voor. DigiD is best wel een tijd geleden (2009) overgegaan op een beter beveiligd certificaat (SHA256). Ik herringer me dat Windows Server 2003 (onze dev omgeving van toen die met DigiD communiceerde) hier niet mee om kon gaan zonder een specifieke hotfix (KB 938397).

Het is maar een gok, maar wie weet helpt het je.
http://blogs.technet.com/.../30/sha2-and-windows.aspx

Ik denk dat je gelijk hebt... Ik heb het even getest op een Windows 2003 applicatie server die wij nog hebben draaien en daar kom ik ook niet op de DigID website...

dinsdag 28 mei 2013 21:56

Acties:

Shinji

DYX schreef op dinsdag 28 mei 2013 @ 21:47:
Dit probleem komt me bekend voor. DigiD is best wel een tijd geleden (2009) overgegaan op een beter beveiligd certificaat (SHA256). Ik herringer me dat Windows Server 2003 (onze dev omgeving van toen die met DigiD communiceerde) hier niet mee om kon gaan zonder een specifieke hotfix (KB 938397).

Het is maar een gok, maar wie weet helpt het je.
http://blogs.technet.com/.../30/sha2-and-windows.aspx

Nu je het zegt, dat is waar ook, ook al diverse keren tegen gekomen.

[ Voor 3% gewijzigd door Shinji op 28-05-2013 21:57 ]

dinsdag 28 mei 2013 22:28

Acties:

RoRoo

Certified Prutser

Topicstarter

Even duidelijk maken, niet hobbymatig. Ik ben al 18 jaar werkzaam als systeembeheerder en troubleshooting is mij zeker niet onbekend.

3rd party tools zijn imho compleet overbodig als je weet dat deze server staat in een organisatie met 5 medewerkers.. Zit je in een multinational met 1000+ devices, dan snap ik dat je een tailored oplossing wil. En in mijn ervaring graven dit soort tools zich op een manier in je ad etc zodat je eigenlijk niet meer zonder kan. In dit geval lijkt het gelukkig nog mee te vallen afgezien van de vele verborgen vbscripts e.d.

In deze situatie kan je perfect uit de voeten met een goed opgezette AD, GPO icm ABE en NTFS permissies.
Helaas hebben we deze situatie zo aangetroffen en moeten we nu even roeien met de riemen die we hebben en de zaken stap voor stap verbeteren. Al naar gelang hun . Beginnend bij hun running issues

Je kan me niet vertellen dat ik Root certificaten mis (of corrupt/obsolete etc) als dezelfde server de site WEL opent als ik NIET in het domein zit.

De redirect gaat inderdaad niet door naar https op IE (zat op de opmerking te wachten

) handmatig naar https geeft vanzelfsprekend hetzelfde resultaat. Chrome geeft geen enkele optie om überhaupt het certificaat te bekijken ik vermoed ook dat ik ergens intern op die server een hickup/block krijg waardoor de eigenlijke site niet eens bereikt wordt om iets te kunnen doen.

Een Hijack is ook al in me opgekomen, maar wederom.. maak ik er een standalone bak van.. Werkt alles perfect. That does not compute

Ik ga morgenochtend wel die patch even bekijken of ie geinstalleerd is of niet Dank voor die tip!.. Alle mandatory patches draaien er al op, enkele optional (windows search ellende etc) niet. Ik gok van wel, aangezien wederom wel werkt zodra ik uit het domein ben. Vertrouwen is goed. Controle is beter.

Want ik vermoed wel dat er ergens iets met de certificaten, encryptie, whatever mis gaat.. Alleen lastig zoeken als het alleen om digid gerelateerde acties gaat..

Overige SSL sites gaan zonder issues.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

woensdag 29 mei 2013 01:09

Acties:

Killah_Priest

Heb je ook al je CA gecontroleerd? Aangezien het probleem alleen voorkomt als de machine domain joined is en het een certificate probleem is zou hier het probleem ook nog kunnen liggen (hoewel het vergezocht is, je wilt ook niet weten wat voor troep ik wel eens ben tegenkomen bij klanten waarvan wij het beheer hebben overgenomen van een andere partij)

woensdag 29 mei 2013 06:57

Acties:

Dysmael

Ik zou niet weten waarom je met Chrome het certificaat niet kan bekijken. Klikken op het slotje met kruisje links van de URL doet niets? In dat geval kan je alsnog het certificaat m.b.v. Wireshark eruit vissen.
Sowieso zou ik ondertussen Wireshark er al eens bij hebben gepakt om te kijken wat er onder water gebeurt.En heel misschien Process Monitor.

woensdag 29 mei 2013 11:25

Acties:

RoRoo

Certified Prutser

Topicstarter

DYX schreef op dinsdag 28 mei 2013 @ 21:47:
Dit probleem komt me bekend voor. DigiD is best wel een tijd geleden (2009) overgegaan op een beter beveiligd certificaat (SHA256). Ik herringer me dat Windows Server 2003 (onze dev omgeving van toen die met DigiD communiceerde) hier niet mee om kon gaan zonder een specifieke hotfix (KB 938397).

Het is maar een gok, maar wie weet helpt het je.
http://blogs.technet.com/.../30/sha2-and-windows.aspx

You sir, are my hero!

Patch aangevraagd en geïnstalleerd.. Reboot en bam! werken. $_/-\o_$

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

woensdag 29 mei 2013 11:43

Acties:

DYX

Mooi dat het nu opgelost is

We zijn er toendertijd ook best wel een tijd mee bezig geweest omdat het problem, zoals je zelf ook ervaart, niet echt eenduidig is.

woensdag 29 mei 2013 17:29

Acties:

KillerAce_NL

If it ain't broke...

RoRoo schreef op woensdag 29 mei 2013 @ 11:25:
[...]

You sir, are my hero!

Patch aangevraagd en geïnstalleerd.. Reboot en bam! werken. $_/-\o_$

Zie je wel je had de g2 patch niet erop staan.
Maar dan hebben ze ook al wel even issue's met diverse site's.

woensdag 29 mei 2013 17:33

Acties:

Duinkonijn

Huh?

Ik vraag me alleen af waarom hij het buiten het domein om wel deed.

RolfLobker schreef op woensdag 29 mei 2013 @ 06:57:
Ik zou niet weten waarom je met Chrome het certificaat niet kan bekijken. Klikken op het slotje met kruisje links van de URL doet niets? In dat geval kan je alsnog het certificaat m.b.v. Wireshark eruit vissen.
Sowieso zou ik ondertussen Wireshark er al eens bij hebben gepakt om te kijken wat er onder water gebeurt.En heel misschien Process Monitor.

Omdat het certificaat niet geladen wordt.

Ik heb het gisteren op 1 van de laatste 2003 machines in m`n domein geprobeerd.
zonder patch krijg je gewoon pagina niet gevonden.
pas naar de patch doet hij het.

[ Voor 83% gewijzigd door Duinkonijn op 29-05-2013 17:36 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 29 mei 2013 19:46

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
'Vaag probleem' is een vage titel

Ik pas voor anderen met dit probleem de titel nog even aan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 29 mei 2013 23:25

Acties:

RoRoo

Certified Prutser

Topicstarter

F_J_K schreef op woensdag 29 mei 2013 @ 19:46:

offtopic:
'Vaag probleem' is een vage titel Ik pas voor anderen met dit probleem de titel nog even aan.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku