Anmelden an AD-Domäne per VPN
Hallo liebe Gemeinde,
sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...
Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.
Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538
Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...
Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?
Vielen Dank schonmal
plonky
sollte dies ein Doppelposting sein, dann wäre ein Hinweis zur passenden Lösung nett. Habe über die Boarsuche zwar ähnliche Probleme gefunden, die aber entweder uralt ware oder eben ungelöst blieben ...
Zur Sache:
Ich experimentiere nun schon seit einer Weile mit der Anbindung unserer mobilen Mitarbeiter an unsere Domäne per VPN. Soll-Zustand ist, dass der Laptopbenutzer (XP Pro SP2) sich über das DFÜ-Netzwerk an der AD-Domäne (W2k3-Server) anmeldet, seine Profildaten geladen bekommt und eigentlich gar nicht merkt, dass er nicht im Office sitzt.
Eckdaten der Verbindung:
- Clients WinXP Pro SP2 mit Netgear ProSafe VPN-Client über UMTS
- AD-Domäne
- Router Netgear FVX538
Momentaner Ist-Zustand:
Der Tunnel über IPSec/L2TP wird NACH der Windowsanmeldung des Users mittels Netgear VPN-Client aufgebaut, der Client bekommt eine IP aus einem nicht mit dem der Domäne identischen Subnetz, Ping auf alle Geräte in der Domäne geht durch. Lustigerweise kann ich allerdings keinen Ping auf DNS-Server in der Domäne absetzen (Timeout). Webserver im LAN können ohne Probleme über die IP aufgerufen werden. Die Namensauflösung funktioniert nicht.
Habe zwischenzeitlich eine Authentifizierung des Domänenbenutzers über RADIUS (IAS) eingerichtet, was auch einwandfrei funktioniert hat, jedoch bringt mir das ja auch nix, wenn ich nicht auf Ressourcen der Domäne zugreifen kann ...
Wie kann ich es hinbekommen, dass der Laptopbenutzer beim Logon über das DFÜ-Neztwerk eine entsprechende Netzwerkverbindung auswählt und sich so an der Domäne anmelden kann? Habe ich dazu überhaupt eine Chance, wenn ich nicht den WinXP-VPN-Client benutzen kann/will? Habe ich irgendeinen Haken übersehen? Denkfehler?
Vielen Dank schonmal
plonky
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 58326
Url: https://administrator.de/forum/anmelden-an-ad-domaene-per-vpn-58326.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
3 Kommentare
Neuester Kommentar
Paar Gedanken bzw. Ideen - vielleicht ist es aber auch ganz was anderes.
Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all
Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.
Um sich direkt in der Domäne anmelden zu können, muss der VPN Client freilich VOR der Anmeldung am PC stattfinden. Das kann beispielsweise der Cisco VPN Client recht gut, andere Hersteller wahrscheinlich auch.
Alternative wäre Anmeldung mit gecachsten Domain-Credentials, und anschliessendem Start des VPN Tunnels.
WEnn der Ping im Tunnel auf den DNS nicht geht, prüfe ob irgendwas den Port 53 UDP blockt.
Firewall? Routingproblem? Sicherheitseinstellung auf dem DNS Server? Oder ist ICMP (Ping) auf dem DNS Server geblockt? Teste die Namensauflösung mit nslookup. Teste die IP Config mit ipconfig /all
Dein Problem ist vielleicht auch, dass der Firmen DNS Server im Tunnel nicht an die Clients Adapter übertragen wird (Tunnelmode) sondern der Client nur eine IP bekommt. Dann kann er interne Namen freilich auch nicht auflösen. WINS sollte auch übertragen werden, für Freigaben Netbios-Namen Auflösung, sonst kanns Probleme geben mit Freigaben Zugriff über den VPN Tunnel.