Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

CMD Befehl SC.exe per VPN nicht möglich, RPC-Server nicht verfügbar

Frage Netzwerke Netzwerkmanagement

Mitglied: Borob14

Borob14 (Level 1) - Jetzt verbinden

18.09.2014, aktualisiert 24.10.2014, 2181 Aufrufe, 16 Kommentare

Hi zusammen ich hoffe das ist das richtige Forum.

Zum Problem: Wir nutzen Sophos VPN und ich habe einen automatischen Script erstellt welcher per SC.exe Dienste beendet. Das klappt im internen Netz super, extern im VPN kommt leider RPC-Server nicht verfügbar.
Erst dachte ich das es ein DNS Problem ist, allerdings liegt es "leider" nicht daran. Gibt es Erfahrungen oder Alternativen um einen Dienst Remote beenden zu können, wenn der Client im VPN Netz hängt?
Ping und RDP funktioniert übrigens problemlos, auch vom VPN-Client aus (aus dem VPN Netz heraus) kann ich einen Dienst an einem internen PC im internen Netz ändern.

Etwas kompliziert aber ich hoffe es hat wer einen Tipp. Vielleicht gibt es noch eine Alternative zum SC Befehl. Ziel des ganzen: Ich trenne im Prinzip "nur" die LAN Verbindung und deaktiviere sie über den DHCP Dienst. (das ganze muss automatisch durch eine LogFile passieren können OHNE selber tätig zu werden)

Danke

Mit freundlichen Grüßen Rob


EDIT auch der Powershell Befehl get-service funktioniert im VPN nicht
Mitglied: Lochkartenstanzer
18.09.2014 um 17:16 Uhr
Moin,

"hört" sich nach Firewall an. Schau mal in den Windows-Firewallregeln des zielhosts, ob auch die anderen Netze RPC nutzen dürfen.

lks
Bitte warten ..
Mitglied: Borob14
19.09.2014 um 07:20 Uhr
War ein guter Ansatz, stimmt natürlich das die Domain-Regeln im VPN Nicht zählen, aber selbst mit deaktivierter Firewall oder mit händischer Freigabe des RPC auf dem Client, leider keine Änderung. Könnte es an der Windows-Anmeldung liegen? Der Client meldet sich ja nicht an der AD an, wenn er VPN nutzt (bzw. nur teilweise) Echt blöde Sache aber langsam gehen mir die Ideen aus.

Mit freundlichen Grüßen Rob
Bitte warten ..
Mitglied: Lochkartenstanzer
19.09.2014 um 07:54 Uhr
Zitat von Borob14:

Könnte es an der Windows-Anmeldung liegen? Der Client meldet sich ja nicht an der AD an, wenn er VPN nutzt (bzw. nur teilweise)

  • Ist die Kiste Domänen Mitglied?
  • Ist der Benutzer Domänenbenutzer?
  • Nutzt die Kiste/der benutzer shares aus der Domain?

Wenn da nicht irgendwelche credentials vorhanden sind, die die Nutzung von Damänendiensten erlauben, geht das natürlich schief.

lks
Bitte warten ..
Mitglied: AndreasHoster
19.09.2014 um 08:37 Uhr
Und hat die VPN Software eventuell nochmals eigene Firewall Regeln, die was blocken können?
Bitte warten ..
Mitglied: Borob14
19.09.2014, aktualisiert um 12:43 Uhr
•Ist die Kiste Domänen Mitglied?
-> Jup ist sie

•Ist der Benutzer Domänenbenutzer?
-> Jup bin sogar mit DomainAdmin angemeldet

•Nutzt die Kiste/der benutzer shares aus der Domain?
-> Was meinst du damit, bin mir nicht sicher was du meinst? Zugriffe aufs Firmennetz sind natürlich möglich.
-> Die Anmeldung erfolgt natürlich nur mit dem gecachten Profil, VPN Verbindung wird erst nach Anmeldung aufgebaut

•Und hat die VPN Software eventuell nochmals eigene Firewall Regeln, die was blocken können?
-> bin ich mir nicht sicher, eigentlich nein und da es sich nach Aufbau der VPN-Verbindung um eine interne<->interne Verbindung der Clients handelt gelten an der Firmenfirewall die selben Regeln wie im reinen internen Netz (wo es bisher ja ohne Probleme klappt)
Werde mich aber nochmal über den Sophos VPN Client belesen ob dort zusätzliche Regeln/Einstellungen möglich sind. (glaube aber nicht, da dies die Firewall Regeln sein sollte, an der der VPN Client anklopft)
Bitte warten ..
Mitglied: colinardo
LÖSUNG 25.09.2014, aktualisiert 24.10.2014
Moin Rob,
ein Trace mit Wireshark sollte dir Klarheit verschaffen. Dann hast du Gewissheit ob die Pakete den Client überhaupt erreichen. RPC-Server nicht verfügbar bedeutet entweder das der RPC Port geblockt wird oder du die falschen Credentials mitgibst. Domain-Credentials muss der Client natürlich auflösen können. Versuch es mal mit einem "lokalen" Adminaccount der auf dem Client existiert. Hier läuft das ganze auch problemlos über VPN, also ist das dein Ansatzpunkt.

btw. mit VBS lässt sich das ganze hiermit zuverlässiger machen, als nur den DHCP-Dienst zu beenden:
01.
On Error Resume Next 
02.
strComputer = "10.10.20.33" 
03.
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") 
04.
Set colAdapters = objWMIService.ExecQuery("Select * from Win32_Networkadapter where NetEnabled='True'") 
05.
For Each adapter in colAdapters 
06.
    adapter.Disable() 
07.
Next
Grüße Uwe
Bitte warten ..
Mitglied: Borob14
26.09.2014 um 14:19 Uhr
HiHo Uwe,

du weißt auch mit allem Bescheid oder?
Danke dir für die Antwort, wir haben derzeit leider ne größere Firmenumstellung, daher keine Zeit das zu testen. Ich hoffe ich komme am Montag dazu.
Mit dem Netzwerkadapter das hab ich auch gesucht allerdings immer nur Sachen gefunden wo genau der Name angegeben werden musste. Wenn das so klappen würde wäre es absolut geil! Das mit Wireshark und dem lokalen ADM ist auch ne gute Idee. Danke für die Ansätze und ein wunder schönes Wochenende.
Bitte warten ..
Mitglied: Borob14
02.10.2014 um 14:08 Uhr
So hatte Heute "etwas" Zeit und konnte den Script erfolgreich auf deine Variante ändern, im VPN Netz leider trotzdem kein Erfolg. Ich teste es nun mit dem lokalen ADM der auf beiden vorhanden ist. Mit Wireshark muss ich mich erst etwas beschäftigen.
Bitte warten ..
Mitglied: Borob14
10.10.2014 um 09:10 Uhr
Guten Morgen zusammen,

ich komme mit Wireshark nicht weiter, kann mir wer die Meldungen übersetzen?
XX ist unsere Öffentliche Adresse die ich nicht gern hier posten würde ^^
Ping kommt super durch und sehe ich auf beiden Seiten nur der Netzwerkkarten sperren Befehl zeigt folgendes:

Am Ziel Client finde ich nur.
31 13.755294000 XX.XXX.XXX.XXX 192.168.1.105 TCP 121 [TCP Retransmission] 8443?49574 [PSH, ACK] Seq=429 Ack=445 Win=32038 Len=67

Am Auslösenden Client kommt:
70 2.089030000 192.168.109.128 10.242.2.34 TCP 66 52314→135 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1
145 5.089060000 192.168.109.128 10.242.2.34 TCP 66 [TCP Retransmission] 52314→135 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1
270 11.089363000 192.168.109.128 10.242.2.34 TCP 62 [TCP Retransmission] 52314→135 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1
Bitte warten ..
Mitglied: colinardo
10.10.2014, aktualisiert um 09:28 Uhr
Mit den paar Schnippseln nicht möglich, die sagen nur aus das der jeweilige Sender die Pakete versucht erneut zu verschicken, weil er keine Antwort bekommt (Retransmission)

Ist ja auch normal nachdem du die Verbindung gekappt hast

Grüße Uwe
Bitte warten ..
Mitglied: Borob14
21.10.2014 um 08:47 Uhr
Sorry das ich so lange nicht geschrieben habe, habe derzeit einfach keine Luft. Projekt ist aber noch offen. Ich denke es liegt an unserer Firewall und muss mich da mit nem "höheren" Admin dran setzen(hab auf unserer Firewall leider kaum Rechte) um zu schauen ob etwas geblockt wird. Wie du ja schon gesagt hast er wartet auf Rückantwort, mehr hat man dort nicht im Log gesehen, daher die Annahme das die Firewall was blockt. Komisch halt nur das es vom VPN Client ins interne Netz klappt nur vom Internen Netz nicht ins VPN Netz.

Ich danke dir erst mal und hoffe das ich bald dazu komme.

Mit freundlichen Grüßen Rob
Bitte warten ..
Mitglied: colinardo
21.10.2014 um 09:27 Uhr
Hallo Rob,
ich würde auch mal das Routing überprüfen. Ist auf dem Client in der VPN Software eingestellt das er das DefaultGW des internen Netzes nutzt ? Und wie macht ihr die VPN Einwahl? haben die VPN Clients ein separates Subnetz ?

Viele Grüße
Uwe
Bitte warten ..
Mitglied: Borob14
21.10.2014, aktualisiert um 10:36 Uhr
Hi Uwe,

wir haben ne Sophos und die Einwahl geschieht über die Sophos Software. (SSL VPN Client). Routing ist ne gute Idee, vielleicht funktioniert das nur in eine Richtung richtig.
Die VPN Clients haben ein anderes Netz, das ist korrekt. Internes Netz ist 192iger und VPN ist 10er. Da ich aber den Befehl von einem VPN Client erfolgreich an ein internes Gerät übersenden kann, sollte das Netz nicht das Problem sein.

Ich habe im verdacht, dass ein paar Ports nur in eine Richtung offen sind, dazu brauch ich aber meinen Chef (der noch weniger Zeit hat als ich ^^)
Naja mal schauen wann es endlich klappt mit dem Test.

Mit freundlichen Grüßen Rob


P.S. DefaultGW ist immer die Sophos (extern und intern)
Bitte warten ..
Mitglied: Borob14
21.10.2014 um 13:08 Uhr
Habe gerade nochmal getestet und festgestellt das RDP, Ping geht aber die Adminfreigaben (C$ etc.) z.Bsp. auch nicht gehen, was die Vermutung mit dem Firewall block verstärkt. Mal schauen ob Chefchen am Freitag Zeit hat ^^

Mit der Route kann eigentlich damit auch nicht sein, denn dann sollte gar nix gehen oder?

Mit freundlichen Grüßen Rob
Bitte warten ..
Mitglied: colinardo
LÖSUNG 21.10.2014, aktualisiert 24.10.2014
Zitat von Borob14:
die Vermutung mit dem Firewall block verstärkt. Mal schauen ob Chefchen am Freitag Zeit hat ^^
da wird dann sicherlich CIFS/SMB gefiltert.
Mit der Route kann eigentlich damit auch nicht sein, denn dann sollte gar nix gehen oder?
richtig wenn Pings etc. laufen, ist das Routing OK.
Bitte warten ..
Mitglied: Borob14
24.10.2014 um 15:06 Uhr
So es hat geklappt, es liegt definitiv an der Firewall, welche Ports alle benötigt werden müssen wir noch testen aber ne kurze Anyverbindung -> VPN Netz Freigabe hats gezeigt. Danke wie immer für die Hilfe

Mit freundlichen Grüßen Rob & ein schönes WE
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
RPC Server ändern (2)

Frage von DerNeueITler zum Thema Windows Server ...

Router & Routing
gelöst Kein VPN möglich mit Zyxel USG110 hinter Fritzbox 7490 (24)

Frage von Storm78 zum Thema Router & Routing ...

Windows Server
gelöst Windows Server 2012 - VPN Verbindung nach Update nicht mehr möglich (1)

Frage von ruNN0r zum Thema Windows Server ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...