6
VPN auf Virtuellen Arbeitsplatz
Hallo zusammen,
ich brauche eure Hilfe, da ich auch nach langen Suchen uns Lesen nicht auf die Lösung komme.
Ein Problem muss ich vorweg nehmen: Ich kenne nicht alle Funktionen oder Begriffe des Netzwerkes
und hoffe, trotzdem das Problem gut beschrieben zu haben.
Unser IT-Netz besteht aus 2 Netzwerken.
Eine Domäne (Server und Clients) im Netz 192.101.100.0.
Alle anderen Server und Clienten im Netz 192.168.15.0.
Per VPN kann sich einer unserer Mitarbeiter von seinem externen Büro
in unser System einloggen. Unsere aktuelle IP ist immer bei Dyndns hinterlegt.
Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein.
Auf dem lokalen PC ist nur der Benutzername Domäne/UserXY hinterlegt. Wieso kann sich der Mitarbeiter
in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist?
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)
Wenn der Benutzer nun auf VPN-Verbindung klickt, wird eine Verbindung mit unserem Netzwerk hergestellt.
Der Server, der die VPN Verbindung "managet", ist im 192.168.15.X Netz und fungiert auch als Email-Server.
Dieser besitzt 3 Netzwerkkarten. 1. hat eine IP aus dem 192.101.100.0 Netz, 2. 192.168.15.0. Die 3. müsste für das VPN sein.
Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?!
Nachdem eine aktive Verbindung besteht, kann er sich mit Windows Remote auf einen virtuellen Arbeitsplatz in
einloggen. Der Virtual-PC hat eine feste IP aus dem 192.101.100.X Netzwerk.
Benutzname ist in der Domäne vorhanden.
Jetzt kann der user das Warenwirtschaftssystem (installiert auf Server mit AD) über den VP nutzten
und auch E-Mails über den Server 192.168.15.X schreiben.
Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste man nicht ein Profil auf dem AD-Server hinterlegen können?!
Nochmal zur Erklärung: Büro-PC extern --> VPN zu Firma --> Login auf Virtueller Maschine --> Anmeldung in Domäne --> Arbeit mit System
Eine Domäne (Server und Clients) im Netz 192.101.100.0.
Alle anderen Server und Clienten im Netz 192.168.15.0.
Per VPN kann sich einer unserer Mitarbeiter von seinem externen Büro
in unser System einloggen. Unsere aktuelle IP ist immer bei Dyndns hinterlegt.
Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein.
Auf dem lokalen PC ist nur der Benutzername Domäne/UserXY hinterlegt. Wieso kann sich der Mitarbeiter
in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist?
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)
Wenn der Benutzer nun auf VPN-Verbindung klickt, wird eine Verbindung mit unserem Netzwerk hergestellt.
Der Server, der die VPN Verbindung "managet", ist im 192.168.15.X Netz und fungiert auch als Email-Server.
Dieser besitzt 3 Netzwerkkarten. 1. hat eine IP aus dem 192.101.100.0 Netz, 2. 192.168.15.0. Die 3. müsste für das VPN sein.
Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?!
Nachdem eine aktive Verbindung besteht, kann er sich mit Windows Remote auf einen virtuellen Arbeitsplatz in
einloggen. Der Virtual-PC hat eine feste IP aus dem 192.101.100.X Netzwerk.
Benutzname ist in der Domäne vorhanden.
Jetzt kann der user das Warenwirtschaftssystem (installiert auf Server mit AD) über den VP nutzten
und auch E-Mails über den Server 192.168.15.X schreiben.
Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste man nicht ein Profil auf dem AD-Server hinterlegen können?!
Nochmal zur Erklärung: Büro-PC extern --> VPN zu Firma --> Login auf Virtueller Maschine --> Anmeldung in Domäne --> Arbeit mit System
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123691
Url: https://administrator.de/contentid/123691
Printed on: April 19, 2024 at 12:04 o'clock
6 Comments
Latest comment
Zuallererst: 192.101.100.0 ist ein öffentliches Netzwerk und kein RFC 1918 mit privaten IP Adressen zu denen ausschliesslich nur diese Adress Blöcke gehören:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Eine Abfrage auf das 192.101.100.0 IP Netzwerk ergibt diesen rechtlichen Besitzer in den Vereinigten Staaten auf den es weltweit registriert ist:
Query string: "192.101.100.0"
OrgName: Pacific Northwest National Laboratory
OrgID: PNNL
Address: 902 Battelle Boulevard
City: Richland
StateProv: WA
PostalCode: 99352
Country: US
NetRange: 192.101.100.0 - 192.101.109.255
CIDR: 192.101.100.0/22, 192.101.104.0/22, 192.101.108.0/23
NetName: PNNL
Du bist also vermutlich NICHT der Besitzer dieses registrierten Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses Netz für ein privates Netzwerk wie deines zu verwenden...und schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....
Eine Domäne hat mit einer IP Adresse nichts zu tun und ist davon unabhängig, folglich ist deine Äußerung "...Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein." ebenfalls nicht ganz korrekt aber nur ein kosmetischer Fehler letztlich..
Zu deinen Fragen:
"Wieso kann sich der Mitarbeiter in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist? "
A.: Ein VPN Login mit dem PPTP Protokoll (was du vermutlich (geraten) verwendest..) ist erstmal unabhängig von einer Domäne und kann über einen VPN Router oder eine Firewall geschehen mit lokaler User Verwaltung. Ein externer VPN Server kann auch z.B. über das LDAP oder RADIUS Protokoll eine Benutzer Authentifizierung auf dem AD ausführen wenn er keine lokale Datenbak hat.
Leider beschreibst du diesen Teil des Netzwerkes nicht, so das man hier nur wild raten kann und keine technischen Fakten hat um die Frage qualifiziert beantworten zu können
"Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?! "
A.: Ja, das macht immer das PPTP Protokoll über den VPN Server. Welche IP dem VPN Client zugewiesen wird ist abhängig von der Konfiguration des VPN Servers. Leider enthältst du uns diese Konfig ja auch vor so das man auch hier wie oben wieder gezwungen ist im freien Fall zu raten..
"Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden ? "
A.: Da hast du Recht, das ist eigentlich aus VPN Sicht Unsinn. Es muss keine virtuelle Maschine sein, es sei denn das WS System benötigt irgendwie einen sehr speziellen Client.
Jeder beliebige VPN Client ob Windows, MacBook, Linux oder was auch immer kann diese VPN Verbindung herstellen und auf dem WS arbeiten, sofern er Usernamen und Passwort für den VPN Zugriff hat !
http://de.wikipedia.org/wiki/Private_IP-Adresse
Eine Abfrage auf das 192.101.100.0 IP Netzwerk ergibt diesen rechtlichen Besitzer in den Vereinigten Staaten auf den es weltweit registriert ist:
Query string: "192.101.100.0"
OrgName: Pacific Northwest National Laboratory
OrgID: PNNL
Address: 902 Battelle Boulevard
City: Richland
StateProv: WA
PostalCode: 99352
Country: US
NetRange: 192.101.100.0 - 192.101.109.255
CIDR: 192.101.100.0/22, 192.101.104.0/22, 192.101.108.0/23
NetName: PNNL
Du bist also vermutlich NICHT der Besitzer dieses registrierten Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses Netz für ein privates Netzwerk wie deines zu verwenden...und schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....
Eine Domäne hat mit einer IP Adresse nichts zu tun und ist davon unabhängig, folglich ist deine Äußerung "...Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein." ebenfalls nicht ganz korrekt aber nur ein kosmetischer Fehler letztlich..
Zu deinen Fragen:
"Wieso kann sich der Mitarbeiter in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist? "
A.: Ein VPN Login mit dem PPTP Protokoll (was du vermutlich (geraten) verwendest..) ist erstmal unabhängig von einer Domäne und kann über einen VPN Router oder eine Firewall geschehen mit lokaler User Verwaltung. Ein externer VPN Server kann auch z.B. über das LDAP oder RADIUS Protokoll eine Benutzer Authentifizierung auf dem AD ausführen wenn er keine lokale Datenbak hat.
Leider beschreibst du diesen Teil des Netzwerkes nicht, so das man hier nur wild raten kann und keine technischen Fakten hat um die Frage qualifiziert beantworten zu können
"Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?! "
A.: Ja, das macht immer das PPTP Protokoll über den VPN Server. Welche IP dem VPN Client zugewiesen wird ist abhängig von der Konfiguration des VPN Servers. Leider enthältst du uns diese Konfig ja auch vor so das man auch hier wie oben wieder gezwungen ist im freien Fall zu raten..
"Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden ? "
A.: Da hast du Recht, das ist eigentlich aus VPN Sicht Unsinn. Es muss keine virtuelle Maschine sein, es sei denn das WS System benötigt irgendwie einen sehr speziellen Client.
Jeder beliebige VPN Client ob Windows, MacBook, Linux oder was auch immer kann diese VPN Verbindung herstellen und auf dem WS arbeiten, sofern er Usernamen und Passwort für den VPN Zugriff hat !
Zitat von @Tolamus:
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege
von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege
von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)
welches Tunnelprotokoll wird eingesetzt?
überlicherweise erhält der VPN-Client eine IP aus dem definierten ip-pool
Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden
sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das
Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste
man nicht ein Profil auf dem AD-Server hinterlegen können?!
sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das
Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste
man nicht ein Profil auf dem AD-Server hinterlegen können?!
Domänenuser kann sich nicht am Domänencontroller anmelden, nur der Administrator.
Ich vermute der externe Mitarbeiter soll keine Admin-Rechte an der Dömäne haben ?
Gruss Roland
Danke für deine Antwort.
Das mit dem reservierten Netz habe ich nachgelesen und verstanden. Ich bin ziemlich enttäuscht, was hier alles für ein Mist eingerichtet ist.
Ich versuche mich zur Zeit in die Netzwerktechnik einzulesen, aber ohne Hilfe ist es mühsam bzw kaum zu schaffen.
Meine wichtigste Frage hast du mir schon beantwortet.
Vielleicht formuliere ich die Tage noch ein paar Fragen nach! :D
Vielen Dank.
Das mit dem reservierten Netz habe ich nachgelesen und verstanden. Ich bin ziemlich enttäuscht, was hier alles für ein Mist eingerichtet ist.
Ich versuche mich zur Zeit in die Netzwerktechnik einzulesen, aber ohne Hilfe ist es mühsam bzw kaum zu schaffen.
Meine wichtigste Frage hast du mir schon beantwortet.
Vielleicht formuliere ich die Tage noch ein paar Fragen nach! :D
Vielen Dank.
Domänenuser kann sich nicht am Domänencontroller anmelden, nur der Administrator.
Ich vermute der externe Mitarbeiter soll keine Admin-Rechte an der Dömäne haben ?
Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user einrichten, damit die externen sich dort einloggen oder geht das direkte Arbeiten an WinServer 2003 nicht?!
Ich vermute der externe Mitarbeiter soll keine Admin-Rechte an der Dömäne haben ?
Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user einrichten, damit die externen sich dort einloggen oder geht das direkte Arbeiten an WinServer 2003 nicht?!
Zitat von @Tolamus:
Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user
einrichten, damit die externen sich dort einloggen oder geht das
direkte Arbeiten an WinServer 2003 nicht?!
Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user
einrichten, damit die externen sich dort einloggen oder geht das
direkte Arbeiten an WinServer 2003 nicht?!
diese lokale Gruppe gibt es bereits und heisst "Remotedesktopbenutzer".
Alle User die Mitglied dieser Gruppe sind, dürfen sich am Mitgliedserver anmelden, auch ohne Admin zu sein.
Dies geht aber nur bei Mitgliedsservern, nicht am Dömencontroller.
Wenn ich dich richtig verstanden habe, ist das WS auf dem Dömänencontroller installiert
Jetzt kann der user das Warenwirtschaftssystem (installiert auf Server mit AD) über den VP nutzten
Das WS sollte nicht auf dem Domänencontroller installiert sein.Gruss Roland
Zitat von @aqui:
Du bist also vermutlich NICHT der Besitzer dieses registrierten
Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses
Netz für ein privates Netzwerk wie deines zu verwenden...und
schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....
Du bist also vermutlich NICHT der Besitzer dieses registrierten
Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses
Netz für ein privates Netzwerk wie deines zu verwenden...und
schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....
ist nicht sauber, aber da die IP's privat bleiben funktioniert dies prinzipiell...
Kann eventuell zu DNS-Fehlern führen, sobald die LAN-Clients versuchen eine public IP aus diesen Netz
192.101.100.0 zu erreichen.
Gruss Roland
