Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN auf Virtuellen Arbeitsplatz

Frage Netzwerke

Mitglied: Tolamus

Tolamus (Level 1) - Jetzt verbinden

28.08.2009, aktualisiert 11:04 Uhr, 4685 Aufrufe, 6 Kommentare

Hallo zusammen,
ich brauche eure Hilfe, da ich auch nach langen Suchen uns Lesen nicht auf die Lösung komme.
Ein Problem muss ich vorweg nehmen: Ich kenne nicht alle Funktionen oder Begriffe des Netzwerkes
und hoffe, trotzdem das Problem gut beschrieben zu haben.

Unser IT-Netz besteht aus 2 Netzwerken.

Eine Domäne (Server und Clients) im Netz 192.101.100.0.
Alle anderen Server und Clienten im Netz 192.168.15.0.

Per VPN kann sich einer unserer Mitarbeiter von seinem externen Büro
in unser System einloggen. Unsere aktuelle IP ist immer bei Dyndns hinterlegt.
Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein.

Auf dem lokalen PC ist nur der Benutzername Domäne/UserXY hinterlegt. Wieso kann sich der Mitarbeiter
in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist?
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)

Wenn der Benutzer nun auf VPN-Verbindung klickt, wird eine Verbindung mit unserem Netzwerk hergestellt.
Der Server, der die VPN Verbindung "managet", ist im 192.168.15.X Netz und fungiert auch als Email-Server.
Dieser besitzt 3 Netzwerkkarten. 1. hat eine IP aus dem 192.101.100.0 Netz, 2. 192.168.15.0. Die 3. müsste für das VPN sein.
Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?!

Nachdem eine aktive Verbindung besteht, kann er sich mit Windows Remote auf einen virtuellen Arbeitsplatz in
einloggen. Der Virtual-PC hat eine feste IP aus dem 192.101.100.X Netzwerk.
Benutzname ist in der Domäne vorhanden.

Jetzt kann der user das Warenwirtschaftssystem (installiert auf Server mit AD) über den VP nutzten
und auch E-Mails über den Server 192.168.15.X schreiben.

Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste man nicht ein Profil auf dem AD-Server hinterlegen können?!


Nochmal zur Erklärung: Büro-PC extern --> VPN zu Firma --> Login auf Virtueller Maschine --> Anmeldung in Domäne --> Arbeit mit System
Mitglied: aqui
28.08.2009 um 10:40 Uhr
Zuallererst: 192.101.100.0 ist ein öffentliches Netzwerk und kein RFC 1918 mit privaten IP Adressen zu denen ausschliesslich nur diese Adress Blöcke gehören:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Eine Abfrage auf das 192.101.100.0 IP Netzwerk ergibt diesen rechtlichen Besitzer in den Vereinigten Staaten auf den es weltweit registriert ist:

Query string: "192.101.100.0"

OrgName: Pacific Northwest National Laboratory
OrgID: PNNL
Address: 902 Battelle Boulevard
City: Richland
StateProv: WA
PostalCode: 99352
Country: US

NetRange: 192.101.100.0 - 192.101.109.255
CIDR: 192.101.100.0/22, 192.101.104.0/22, 192.101.108.0/23
NetName: PNNL

Du bist also vermutlich NICHT der Besitzer dieses registrierten Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses Netz für ein privates Netzwerk wie deines zu verwenden...und schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....

Eine Domäne hat mit einer IP Adresse nichts zu tun und ist davon unabhängig, folglich ist deine Äußerung "...Er logt sich mit dem Computernamen COMPAQ in unsere Domäne, 192.101.100.X ein." ebenfalls nicht ganz korrekt aber nur ein kosmetischer Fehler letztlich..

Zu deinen Fragen:
"Wieso kann sich der Mitarbeiter in Windows einloggen, obwohl die Domäne noch nicht vorhanden ist? "

A.: Ein VPN Login mit dem PPTP Protokoll (was du vermutlich (geraten) verwendest..) ist erstmal unabhängig von einer Domäne und kann über einen VPN Router oder eine Firewall geschehen mit lokaler User Verwaltung. Ein externer VPN Server kann auch z.B. über das LDAP oder RADIUS Protokoll eine Benutzer Authentifizierung auf dem AD ausführen wenn er keine lokale Datenbak hat.
Leider beschreibst du diesen Teil des Netzwerkes nicht, so das man hier nur wild raten kann und keine technischen Fakten hat um die Frage qualifiziert beantworten zu können

"Wird dem Benutzer eine IP aus unseren Netzwerken zugewiesen? Wenn ja, welche?! "

A.: Ja, das macht immer das PPTP Protokoll über den VPN Server. Welche IP dem VPN Client zugewiesen wird ist abhängig von der Konfiguration des VPN Servers. Leider enthältst du uns diese Konfig ja auch vor so das man auch hier wie oben wieder gezwungen ist im freien Fall zu raten..

"Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden sein? Warum kann er sich nicht einfach per VPN verbinden ? "

A.: Da hast du Recht, das ist eigentlich aus VPN Sicht Unsinn. Es muss keine virtuelle Maschine sein, es sei denn das WS System benötigt irgendwie einen sehr speziellen Client.
Jeder beliebige VPN Client ob Windows, MacBook, Linux oder was auch immer kann diese VPN Verbindung herstellen und auf dem WS arbeiten, sofern er Usernamen und Passwort für den VPN Zugriff hat !
Bitte warten ..
Mitglied: rs-schmid
28.08.2009 um 10:56 Uhr
Zitat von Tolamus:
Welche IP wird dem Computer zugewiesen? Bekommt er eine x-belibiege
von seinem Router
zugewiesen? (das müsste eigentlich so sein!!)

welches Tunnelprotokoll wird eingesetzt?
überlicherweise erhält der VPN-Client eine IP aus dem definierten ip-pool


Warum muss laut IT-Partner ein Virtueller Arbeitsplatz vorhanden
sein? Warum kann er sich nicht einfach per VPN verbinden und dann
als user der Domäne auf dem Server anmelden und das
Warenwirtschaftssystem als auch den E-Mail-Clienten direkt benutzen?
Eben so, wie ich es per Remote als Administrator mache. Müsste
man nicht ein Profil auf dem AD-Server hinterlegen können?!

Domänenuser kann sich nicht am Domänencontroller anmelden, nur der Administrator.
Ich vermute der externe Mitarbeiter soll keine Admin-Rechte an der Dömäne haben ?

Gruss Roland
Bitte warten ..
Mitglied: Tolamus
28.08.2009 um 10:57 Uhr
Danke für deine Antwort.

Das mit dem reservierten Netz habe ich nachgelesen und verstanden. Ich bin ziemlich enttäuscht, was hier alles für ein Mist eingerichtet ist.
Ich versuche mich zur Zeit in die Netzwerktechnik einzulesen, aber ohne Hilfe ist es mühsam bzw kaum zu schaffen.

Meine wichtigste Frage hast du mir schon beantwortet.
Vielleicht formuliere ich die Tage noch ein paar Fragen nach! :D

Vielen Dank.
Bitte warten ..
Mitglied: Tolamus
28.08.2009 um 11:03 Uhr
Domänenuser kann sich nicht am Domänencontroller anmelden, nur der Administrator.
Ich vermute der externe Mitarbeiter soll keine Admin-Rechte an der Dömäne haben ?

Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user einrichten, damit die externen sich dort einloggen oder geht das direkte Arbeiten an WinServer 2003 nicht?!
Bitte warten ..
Mitglied: rs-schmid
28.08.2009 um 11:38 Uhr
Zitat von Tolamus:
Nein keine Anminrechte! Kann man nicht eine Gruppe Remote-user
einrichten, damit die externen sich dort einloggen oder geht das
direkte Arbeiten an WinServer 2003 nicht?!

diese lokale Gruppe gibt es bereits und heisst "Remotedesktopbenutzer".
Alle User die Mitglied dieser Gruppe sind, dürfen sich am Mitgliedserver anmelden, auch ohne Admin zu sein.
Dies geht aber nur bei Mitgliedsservern, nicht am Dömencontroller.
Wenn ich dich richtig verstanden habe, ist das WS auf dem Dömänencontroller installiert
Jetzt kann der user das Warenwirtschaftssystem (installiert auf Server mit AD) über den VP nutzten
Das WS sollte nicht auf dem Domänencontroller installiert sein.

Gruss Roland
Bitte warten ..
Mitglied: rs-schmid
28.08.2009 um 11:48 Uhr
Zitat von aqui:
Du bist also vermutlich NICHT der Besitzer dieses registrierten
Netzwerkes und folglich ist es nicht wirklich eine so gute Idee dieses
Netz für ein privates Netzwerk wie deines zu verwenden...und
schon gar nicht für VPN Nutzung übers Internet.
Das nur mal so nebenbei....

ist nicht sauber, aber da die IP's privat bleiben funktioniert dies prinzipiell...
Kann eventuell zu DNS-Fehlern führen, sobald die LAN-Clients versuchen eine public IP aus diesen Netz
192.101.100.0 zu erreichen.

Gruss Roland
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
gelöst Site-to-Site-VPN und Cisco VPN-Client von gleicher IP (2)

Frage von TripleDouble zum Thema Firewall ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...