3
Anmelden an AD-Domäne per VPN
Hallo liebe Gemeinde,
sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...
Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.
Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538
Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...
Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?
Vielen Dank schonmal
plonky
sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...
Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.
Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538
Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...
Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?
Vielen Dank schonmal
plonky
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 58326
Url: https://administrator.de/contentid/58326
Printed on: April 25, 2024 at 05:04 o'clock
3 Comments
Latest comment
Paar Gedanken bzw. Ideen - vielleicht ist es aber auch ganz was anderes.
Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all
Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.
Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all
Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.
Danke schonmal für die Anregungen. Werde ich alles testen und entsprechend Feedback posten.
plonky
plonky
Sooo ... Habe die Testumgebung zwischenzeitlich zerschossen und nochmal von vorne angefangen ...
Aber egal, der Client bekommt vom Router seine Client-IP sowie die DNS- und WINS-Server der Domäne mitgeteilt. Der Tunnel wird aufgebaut, Ping geht auf XP-Workstations und andere Netzwerkgeräte.
Ipconfig /all sagt mir die Client-IP und die IPs der zugewiesenen Server. NSLookup gibt mir für den UMTS-Adapter natürlich den Vodafone-DNS, scheitert aber an der Auflösung der privaten IPs der Domäne.
Das Problem scheint nicht nur zu sein, dass ich die internen DNS-Server nicht pingen kann, sondern das alle internen WS2k3-basierten Maschinen nicht auf Ping antworten. Dummerdings laufen auf diesen Maschinen natürlich der DNS, DHCP, AD ...
Ich glaube mittlerweile eher, dass irgendeine Sicherheitseinstellung auf den WS2k3-Maschinen die Kommunikation blockt, habe allerdings keinen Plan welche ... Anregungen und Ideen sind herzlich willkommen
Btw: Es steht zwar in jeder Beschreibung zum Einrichten eines VPNs, aber erklärt wirds nicht: Warum dürfen Client und Netzwerk nicht im gleichen Subnetz sein?
MfG
plonky
Aber egal, der Client bekommt vom Router seine Client-IP sowie die DNS- und WINS-Server der Domäne mitgeteilt. Der Tunnel wird aufgebaut, Ping geht auf XP-Workstations und andere Netzwerkgeräte.
Ipconfig /all sagt mir die Client-IP und die IPs der zugewiesenen Server. NSLookup gibt mir für den UMTS-Adapter natürlich den Vodafone-DNS, scheitert aber an der Auflösung der privaten IPs der Domäne.
Das Problem scheint nicht nur zu sein, dass ich die internen DNS-Server nicht pingen kann, sondern das alle internen WS2k3-basierten Maschinen nicht auf Ping antworten. Dummerdings laufen auf diesen Maschinen natürlich der DNS, DHCP, AD ...
Ich glaube mittlerweile eher, dass irgendeine Sicherheitseinstellung auf den WS2k3-Maschinen die Kommunikation blockt, habe allerdings keinen Plan welche ... Anregungen und Ideen sind herzlich willkommen
Btw: Es steht zwar in jeder Beschreibung zum Einrichten eines VPNs, aber erklärt wirds nicht: Warum dürfen Client und Netzwerk nicht im gleichen Subnetz sein?
MfG
plonky
