Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmelden an AD-Domäne per VPN

Frage Netzwerke

Mitglied: plonky

plonky (Level 1) - Jetzt verbinden

04.05.2007, aktualisiert 06.05.2007, 18340 Aufrufe, 3 Kommentare

Hallo liebe Gemeinde,

sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...

Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.

Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538

Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...

Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?

Vielen Dank schonmal

plonky
Mitglied: spacyfreak
05.05.2007 um 10:19 Uhr
Paar Gedanken bzw. Ideen - vielleicht ist es aber auch ganz was anderes.

Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all

Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.
Bitte warten ..
Mitglied: plonky
05.05.2007 um 11:14 Uhr
Danke schonmal für die Anregungen. Werde ich alles testen und entsprechend Feedback posten.

plonky
Bitte warten ..
Mitglied: plonky
06.05.2007 um 16:12 Uhr
Sooo ... Habe die Testumgebung zwischenzeitlich zerschossen und nochmal von vorne angefangen ...
Aber egal, der Client bekommt vom Router seine Client-IP sowie die DNS- und WINS-Server der Domäne mitgeteilt. Der Tunnel wird aufgebaut, Ping geht auf XP-Workstations und andere Netzwerkgeräte.
Ipconfig /all sagt mir die Client-IP und die IPs der zugewiesenen Server. NSLookup gibt mir für den UMTS-Adapter natürlich den Vodafone-DNS, scheitert aber an der Auflösung der privaten IPs der Domäne.

Das Problem scheint nicht nur zu sein, dass ich die internen DNS-Server nicht pingen kann, sondern das alle internen WS2k3-basierten Maschinen nicht auf Ping antworten. Dummerdings laufen auf diesen Maschinen natürlich der DNS, DHCP, AD ...

Ich glaube mittlerweile eher, dass irgendeine Sicherheitseinstellung auf den WS2k3-Maschinen die Kommunikation blockt, habe allerdings keinen Plan welche ... Anregungen und Ideen sind herzlich willkommen

Btw: Es steht zwar in jeder Beschreibung zum Einrichten eines VPNs, aber erklärt wirds nicht: Warum dürfen Client und Netzwerk nicht im gleichen Subnetz sein?

Mit freundlichen Grüßen
plonky
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (4)

Frage von Gien-app zum Thema Windows Server ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Windows Netzwerk
VPn mit Domäne (9)

Frage von ratzekahlx zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...