Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passwortabgleich - Domäne vs. lokales System (Nach VPN-Passwortänderung)

Frage Microsoft Windows Userverwaltung

Mitglied: zacharias

zacharias (Level 1) - Jetzt verbinden

25.05.2010, aktualisiert 11:48 Uhr, 9760 Aufrufe, 8 Kommentare

Hallo Leute,

In letzter Zeit habe ich vermehrt Probleme mit Usern, welche ihr Passwort über eine VPN-Verbindung
ändern.

Szenario:
  1. User geht auf Dienstreise
  2. User ändert via VPN sein Passwort
  3. Dies hat zur Folge, dass das Passwort innerhalb der Domäne auf einen neuen Wert gesetzt wurde aber lokal noch immer das "alte" Passwort gültig ist.

Problem:
Somit gibt es Probleme mit den Anwendungen, denn der User meldet sich lokal mit seinem "alten" Kennwort
auf der lokalen Maschine an, stellt danach eine VPN-Verbindung her (neues Kennwort wird benötigt, da dieses
in der Domäne gültig ist). Wenn der User aber nun z.B. Outlook starten will authentifiziert sich dieses mit dem
"alten" Kennwort gegenüber dem MX-Server und somit kann keine Verbindung aufgebaut werden.

Gibt es eine Möglichkeit hier wieder synchron zu werden? D.h. dass das neu gesetzt Domänenkennwort auch
zur lokalen Maschine repliziert wird?



LG
Zacharias
Mitglied: Pjordorf
25.05.2010 um 14:43 Uhr
Hallo Zacharias,

Also dein User geht auf Dienstreise. Er ändert während der Dienstreise sein Domänenpasswort per VPN.

Was hat das jetzt mit deinem Lokalen Passwort zu tun?

Ist der User schon wieder von der Dienstreise zurück und will sich an seinem Rechner LOKAL anmelden oder will eine anderer während der Dienstreise sich an dem PC LOKAL anmelden?

Ist denn der Rechner nicht in der Domäne?

Und vielleicht erklärst du mal die genauen Schritte, welche deine User machen um per VPN ihr Domänenpasswort zu ändern.

Peter
Bitte warten ..
Mitglied: zacharias
25.05.2010 um 16:30 Uhr
Hallo Peter,

Erstmal Danke für deine Unterstüztung.

Ich werde versuchen, dieses Problem anders zu erklären, vllt. ist es dann verständlicher.
(Bitte die Sinnhaftigkeit von dem Beispiel ignorieren *gg*)

Nehmen wir an unser User hat 2 Clients

- Notebook (WinXP SP3)
- Desktop (WinXP SP3)

... und hat folgende Benutzerdaten:

- Benutzername: MyUser
- Kennwort: MyPassword


Die beiden Clients sind in einer Domäne und via LAN an's Firmennetzwerk angeschlossen.
Der User kann sich nach Lust und Laune ab- und anmelden und wir gehen mal davon aus,
dass alles funktioniert. D.h. in diesem Moment cached Windows die Benutzerdaten des Users
lokal, damit sich dieser auch OHNE Netzwerk anmelden kann.

Angenommen der User nimmt nun sein Notebook mit nachhause um HomeOffice zu betreiben.
Er kann sich mit den Benutzerdaten zuhause "offline" mit den Benutzerdaten "MyUser" und "MyPassword"
am Notebook anmelden (da diese Daten ja offline gecached wurden).

Gehen wir davon aus, dass der User am nächsten Tag wieder in's Büro fährt aber das Notebook zuhause
lässt. Wie es der Zufall will bekommt der User bei der Anmeldung am Desktop-PC die Info, das sein Passwort
ablaufen wird und ändert dieses prompt in "MyNEWPassword".

Jetzt haben wir folgende Situation:

Der User hat jetzt folgende Passwörter gesetzt:

- Domäne: "MyNEWPassword"
- Desktop-PC: "MyNEWPassword"
- Notebook: "MyPassword"

Da das Notebook zuhause steht ohne eine Verbindung mit dem DomainController bekommt es natürlich nichts
von dieser Änderung mit.

Am Abend fährt unser User wieder heim und will sich am Notebook anmelden. Tja ... funktioniert natürlich nicht mit
dem neuen Passwort "MyNEWPassword", da am Noteook noch das alte Passwort "MyPassword" aktiv ist. Also muss
sich der User mit den ALTEN Benutzerdaten anmelden. Danach kann er eine Internetverbindung aufbauen und sich mit
seiner VPN-Software in's Firmennetzwerk einwählen.
Der User muss sich bei der VPN-Authentifizerung natürlich mit den neuen Benutzerdaten anmelden. D.h. er hat jetzt ZWEI
Kennwörter: Für die lokale (offline) Anmeldung am Notebook nimmt er das Passwort "MyPassword" (weil das Notebook die
Änderung ja nicht mitbekommen hat) und damit er eine VPN-Verbindung aufbauen kann benötigt er jedoch schon das
Passwort "MyNEWPassword" weil er sich gegenüber der Domäne authentifizieren muss.

Jetzt kommen die Konsequenzen:

Da sich der User am Notebook offline anmeldet (mit den alten Benutzerdaten) laufen auch die Programme unter diesem
Userkontext (also mit den "falschen" Benutzerdaten).
Bsp: Outlook.exe wird am Notebook mit den Benutzerdaten "MyUser" und "MyPassword" ausgeführt. Da wir aber eine
VPN-Verbindung hergestellt haben, kann sich der User natürlich mit dem ExchangeServer verbinden. Outlook schickt
natürlich die Benutzerdaten mit ("MyUser" und "MyPassword") aber der ExchangeServer wartet auf "MyUser" und "MyNEWPassword".
Deshalb kann keine Verbindung aufgebaut werden.

WIE bekomme ich es jetzt hin, dass die Passwörter lokal am Notebook "aktualisiert" werden?? Es ist also notwendig, dass ein abgleich
zwischen den gespeicherten Benutzerdaten am Notebook und den aktuellen Benutzerdaten innerhalb der Domäne durchgeführt wird.

Das Problem hatte ich schon mehrmals unter den verschiedensten Umständen und ich konnte es bisher noch nicht wirklich lösen. Ein
WorkAround ist, dass ich den User nochmals das "ALTE" Passwort setze, denn dann ist das alte Passwort zugleich das neue Passwort
und alles funktioniert. Aus Datenschutzgründen (und ...) kann das natürlich keine Lösung sein.


Sorry für die umständliche Erklärung, aber was bessers ist mir jetzt nicht eingefallen .

Vllt. ein Bsp. zum Vergleich:
Angenommen der User arbeitet zuhause offline am Notebook (aber mit seinem Domänenbenutzer) und ein Admin ändert eine Policy. Das
Notebook bekommt das natürlich im offlineModus nicht mit, man kann die Policy aber mit "gpupdate /sync" oder "/force" abgleichen. GENAU
SOWAS suche ich ... nur eben für die Benutzeranmeldedaten.

Irgendwie glaub ich aber, dass ich bei diesem Thema mit der Kirche ums Kreuz laufe. Aber bei diesem Problem häng ich immer wieder.

Danke und LG
zacharias
Bitte warten ..
Mitglied: BerraBerra
05.09.2017 um 06:51 Uhr
Hallo,

hat denn keiner hierfür eine Lösung?
Wir haben das gleiche Problem.

Lieben Gruß
Bitte warten ..
Mitglied: 133883
05.09.2017, aktualisiert um 07:47 Uhr
Das VPN vor der Benutzeranmeldung herstellen lassen bzw. direkt bei der Anmeldung, dann kommt es erst gar nicht zu der Situation.

Gruß
Bitte warten ..
Mitglied: BerraBerra
05.09.2017 um 10:32 Uhr
Hallo,
VPN kann leider erst nach der Anmeldung aktiviert werden.
Genau das ist ja das Problem.

Aber ich habe die Lösung gefunden:

Man loggt sich als lokaler Administrator ein und startet VPN mit der Domain-Useranmeldung.
Dann wechselt man den Benutzer und meldet sich mit dem Domänen-Benutzer und dem neuen Kennwort an.
Nun hat auch der Rechner das aktuelle Passwort und der User kann wie gewohnt arbeiten.

Wichtig: Man sollte sich vorher vielleicht noch mal als User anmelden und das lokale Administrator-Konto überprüfen.
Erstens, ob es nicht deaktiviert ist und zweitens vielleicht das Passwort erneuern/aktualisieren.

Lieben Gruß
BerraBerra
Bitte warten ..
Mitglied: Pjordorf
05.09.2017, aktualisiert um 10:45 Uhr
Hallo,

Zitat von BerraBerra:
VPN kann leider erst nach der Anmeldung aktiviert werden.
Genau das ist ja das Problem.
Falsche Konfig und oder Hardware.
https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
https://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...
Ein Standort - zu - Standort VPN kann es auch und ist je nach Umgebung vorzuziehen.

Aber ich habe die Lösung gefunden:
Nicht wirklich da ein Benutzer auch das Lokale Admin Passwort nicht wissen soll.

Gruß,
Peter

https://community.spiceworks.com/topic/746194-start-vpn-before-login
https://www.paloaltonetworks.com/documentation/60/globalprotect/global_p ...
https://github.com/OpenVPN/openvpn-gui/issues/77
Bitte warten ..
Mitglied: BerraBerra
05.09.2017 um 12:57 Uhr
Wir haben aber leider eine installierte Lösung, die sich erst startet, wenn der User es anklickt.
Dass es eine andere Möglichkeit gibt, weiß ich, aber wie gesagt, die haben wir nicht im Einsatz.

Das lokale Admin-Passwort kann im Nachhinein wieder geändert werden.
Bitte warten ..
Mitglied: Pjordorf
05.09.2017 um 13:06 Uhr
Hallo,

Zitat von BerraBerra:
Wir haben aber leider eine installierte Lösung, die sich erst startet, wenn der User es anklickt.
Und was hat das mit den Startzeitpunkt deiner Client basierten VPN Lösung zu tun?

Das lokale Admin-Passwort kann im Nachhinein wieder geändert werden.
Tatsächlich

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
VPn mit Domäne (9)

Frage von ratzekahlx zum Thema Windows Netzwerk ...

Windows Server
gelöst Zertifikate nur für die lokale Domäne ausstellen (3)

Frage von backslash zum Thema Windows Server ...

Windows 10
Lokaler Proxy der den Traffic durch VPN leitet? (1)

Frage von ehnoah zum Thema Windows 10 ...

Windows Netzwerk
Windows Domäne in VPN netzwerk Integrieren (1)

Frage von LordProgram zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Erkennung und -Abwehr

Infineon TPMs unsicher! Bitlocker ggf. angreifbar

(4)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Firewall

PfSense Repository für Version 2.3.x

(7)

Information von Dobby zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
Gruppenrichtlinie greift nicht zu! (24)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...