Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmelden an AD-Domäne per VPN

Frage Netzwerke

Mitglied: plonky

plonky (Level 1) - Jetzt verbinden

04.05.2007, aktualisiert 06.05.2007, 19664 Aufrufe, 3 Kommentare

Hallo liebe Gemeinde,

sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...

Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.

Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538

Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...

Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?

Vielen Dank schonmal

plonky
Mitglied: spacyfreak
05.05.2007 um 10:19 Uhr
Paar Gedanken bzw. Ideen - vielleicht ist es aber auch ganz was anderes.

Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all

Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.
Bitte warten ..
Mitglied: plonky
05.05.2007 um 11:14 Uhr
Danke schonmal für die Anregungen. Werde ich alles testen und entsprechend Feedback posten.

plonky
Bitte warten ..
Mitglied: plonky
06.05.2007 um 16:12 Uhr
Sooo ... Habe die Testumgebung zwischenzeitlich zerschossen und nochmal von vorne angefangen ...
Aber egal, der Client bekommt vom Router seine Client-IP sowie die DNS- und WINS-Server der Domäne mitgeteilt. Der Tunnel wird aufgebaut, Ping geht auf XP-Workstations und andere Netzwerkgeräte.
Ipconfig /all sagt mir die Client-IP und die IPs der zugewiesenen Server. NSLookup gibt mir für den UMTS-Adapter natürlich den Vodafone-DNS, scheitert aber an der Auflösung der privaten IPs der Domäne.

Das Problem scheint nicht nur zu sein, dass ich die internen DNS-Server nicht pingen kann, sondern das alle internen WS2k3-basierten Maschinen nicht auf Ping antworten. Dummerdings laufen auf diesen Maschinen natürlich der DNS, DHCP, AD ...

Ich glaube mittlerweile eher, dass irgendeine Sicherheitseinstellung auf den WS2k3-Maschinen die Kommunikation blockt, habe allerdings keinen Plan welche ... Anregungen und Ideen sind herzlich willkommen

Btw: Es steht zwar in jeder Beschreibung zum Einrichten eines VPNs, aber erklärt wirds nicht: Warum dürfen Client und Netzwerk nicht im gleichen Subnetz sein?

MfG
plonky
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
gelöst NTP in AD-Domäne mit VPN-Aussenstellen (5)

Frage von lcer00 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst Externe Clients sollen sich an Domäne anmelden können (8)

Frage von donkiich zum Thema Windows Netzwerk ...

Windows Netzwerk
Client kann sich nicht mehr in Domäne anmelden (13)

Frage von FFSephiroth zum Thema Windows Netzwerk ...

Windows Netzwerk
VPn mit Domäne (9)

Frage von ratzekahlx zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(8)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(27)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...