Aktualisierung der Windows Credentials über VPN?
Hallo zusammen,
ich bin schone eine Zeit stiller Mitleser aber nun finde ich keine passende Antwort zu meiner Frage bzw. Thematik.
Folgendes Szenario findet gerade krisenbedingt bei uns statt.
Wir haben Mitarbeiter mit Notebooks inkl. Dockingsstation ausgestattet um Ihnen Home-Office zu ermöglichen. Klassischer Weg, d.h. Windows-Anmeldung (Win10 Pro 1909) und danach Aufbau eines SSL-VPN via. OpenVPN (FW ist eine Sophos SG330)
Kennwortrichtlinien erfordern Änderung alle 90 Tage. Derzeit sind viele User im Home-Office ohne die Möglichkeit mit ihrem Device ans interne Netz zu kommen um einmal die Authentizierung der neuen Credentials durchzuführen. D.h. sollten sie die Meldung bekommen und ändern das Kennwort bspw. via OWA, funktioniert das neue Kennwort natürlich bei allen Diensten wie Exchange, SMB usw. aber das Kennwort des AD-Users auf dem Notebook im Home-Office ist natürlich noch das alte. Derzeit helfen wir uns damit, das Kennwort auf "Läuft nie ab" beim jeweiligen User zu setzen um sie nicht noch weiter zu verwirren (ja, öffentlicher Dienst. GIbt noch nicht so lange Home-Office)
Finde ich aber persönlich unsauber. Gibt es eine technische Methode, um den Client die neuen Credentials nachträglich zu übergeben wenn erst der VPN steht? Bin zugegebenermaßen nicht besonders firm mit Kerberos.
Haben zwei 2012 R2 DCs
Viele Grüße
Marcel
ich bin schone eine Zeit stiller Mitleser aber nun finde ich keine passende Antwort zu meiner Frage bzw. Thematik.
Folgendes Szenario findet gerade krisenbedingt bei uns statt.
Wir haben Mitarbeiter mit Notebooks inkl. Dockingsstation ausgestattet um Ihnen Home-Office zu ermöglichen. Klassischer Weg, d.h. Windows-Anmeldung (Win10 Pro 1909) und danach Aufbau eines SSL-VPN via. OpenVPN (FW ist eine Sophos SG330)
Kennwortrichtlinien erfordern Änderung alle 90 Tage. Derzeit sind viele User im Home-Office ohne die Möglichkeit mit ihrem Device ans interne Netz zu kommen um einmal die Authentizierung der neuen Credentials durchzuführen. D.h. sollten sie die Meldung bekommen und ändern das Kennwort bspw. via OWA, funktioniert das neue Kennwort natürlich bei allen Diensten wie Exchange, SMB usw. aber das Kennwort des AD-Users auf dem Notebook im Home-Office ist natürlich noch das alte. Derzeit helfen wir uns damit, das Kennwort auf "Läuft nie ab" beim jeweiligen User zu setzen um sie nicht noch weiter zu verwirren (ja, öffentlicher Dienst. GIbt noch nicht so lange Home-Office)
Finde ich aber persönlich unsauber. Gibt es eine technische Methode, um den Client die neuen Credentials nachträglich zu übergeben wenn erst der VPN steht? Bin zugegebenermaßen nicht besonders firm mit Kerberos.
Haben zwei 2012 R2 DCs
Viele Grüße
Marcel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563410
Url: https://administrator.de/contentid/563410
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
3 Kommentare
Neuester Kommentar
Gibt es eine technische Methode, um den Client die neuen Credentials nachträglich zu übergeben wenn erst der VPN steht?
Gibt es. Und zwar von Haus aus ohne irgendwas tun zu müssen.
Sobald der Client per VPN oder direkt Verbindung zur Domäne hat stellt er fest, dass das aktuelle Kennwort in der Domäne nicht identisch ist mit dem zwischengespeicherten Kennwort auf dem Client. Der Benutzer bekommt daraufhin einen Hinweis er soll seinen Desktop sperren und mit dem aktuell gültigen Kennwort wieder entsperren. Das war's auch schon.
PS:
Wie lange liest du schon mit? Genau die gleiche Frage kam schon in den letzten zwei Wochen seit Corona.
Manuel
Hallo Marcel,
vielleicht hilf Dir das weiter https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Siehe hierzu den Abschnitt:
"Danach aktualisiert Windows durch den Hintergrundprozess während einer User-Session die GPOs in einem voreingestellten Intervall von 90 Minuten. Dieser Zeitraum lässt sich über die Einstellung Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinie => Gruppenrichtlinien-Aktivierungsintervall für Computer anpassen. Das Pendant für die Benutzereinstellungen findet sich unter demselben Pfad unterhalb von Benutzerkonfiguration."
Wenn deine beiden DC´s über den VPN sauber per DNS zu erreichen sind, sollte dies sauber funktionieren.
Kannst ja auch mal mit gpupdate /force via Eingabeaufforderung testen, ob die Richtlinien sauber aktualisiert werden. Ansonsten mal per NSLOOKUP nachschauen, was über den VPN so aufgelöst wird.
Das ständige wechseln von Kennwörtern ist mittlerweile auch nicht mehr State of the art und wird auch mittlerweile sogar nicht mehr vom BSI empfohlen. Besser die Nutzer dazu bringen starke Passwörter zu verwenden.
vielleicht hilf Dir das weiter https://www.windowspro.de/wolfgang-sommergut/gpupdate-gruppenrichtlinien ...
Siehe hierzu den Abschnitt:
"Danach aktualisiert Windows durch den Hintergrundprozess während einer User-Session die GPOs in einem voreingestellten Intervall von 90 Minuten. Dieser Zeitraum lässt sich über die Einstellung Computerkonfiguration => Administrative Vorlagen => System => Gruppenrichtlinie => Gruppenrichtlinien-Aktivierungsintervall für Computer anpassen. Das Pendant für die Benutzereinstellungen findet sich unter demselben Pfad unterhalb von Benutzerkonfiguration."
Wenn deine beiden DC´s über den VPN sauber per DNS zu erreichen sind, sollte dies sauber funktionieren.
Kannst ja auch mal mit gpupdate /force via Eingabeaufforderung testen, ob die Richtlinien sauber aktualisiert werden. Ansonsten mal per NSLOOKUP nachschauen, was über den VPN so aufgelöst wird.
Das ständige wechseln von Kennwörtern ist mittlerweile auch nicht mehr State of the art und wird auch mittlerweile sogar nicht mehr vom BSI empfohlen. Besser die Nutzer dazu bringen starke Passwörter zu verwenden.
Also bei uns klappt das ganze wunderbar. Du brauchst halt den richtigen DNS Server bzw. die richtigen DNS Weiterleitungen.
Wir mussten ein bisschen mit den Firewall Regeln und DNS spielen, aber jetzt funktioniert alles sauber. Gruppenrichtlinien, Anmelden, Passwort ändern. Der Client meldet sich eigentlich zu Wort und möchte abgemeldet werden, wenn er erkennt, dass das Passwort veraltet ist.
Wir mussten ein bisschen mit den Firewall Regeln und DNS spielen, aber jetzt funktioniert alles sauber. Gruppenrichtlinien, Anmelden, Passwort ändern. Der Client meldet sich eigentlich zu Wort und möchte abgemeldet werden, wenn er erkennt, dass das Passwort veraltet ist.