13
Computerverwaltung AD trotz VPN
Hallo und allen ein gesundes neues Jahr,
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.
Ich bin mir ziemlich sicher, dass da auch bereits schonmal geklappt hatte und ich bin mir jetzt nicht mehr sicher ob es an VPN oder der Windows-Installation/-Einrichtung liegt.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.
Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.
Die Netzwerkidentifikation habe ich eigentlich immer deaktiviert, um das als Fehler auszuschließen habe ich diese aber mal testweise an meiner Notebook im Home-Office aktiviert, ändert aber nichts.
Hätte noch jemand eine Idee, was man am Notebook überprüfen könnte bzw. auch über welchen Dienst das Verwalten realisiert wird?
Beste Grüße
Benjamin
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.
Ich bin mir ziemlich sicher, dass da auch bereits schonmal geklappt hatte und ich bin mir jetzt nicht mehr sicher ob es an VPN oder der Windows-Installation/-Einrichtung liegt.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.
Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.
Die Netzwerkidentifikation habe ich eigentlich immer deaktiviert, um das als Fehler auszuschließen habe ich diese aber mal testweise an meiner Notebook im Home-Office aktiviert, ändert aber nichts.
Hätte noch jemand eine Idee, was man am Notebook überprüfen könnte bzw. auch über welchen Dienst das Verwalten realisiert wird?
Beste Grüße
Benjamin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 638585
Url: https://administrator.de/contentid/638585
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Geht
In der Windowsfirewall muss das Antworten auf Pings für Netze ausserhalb des Domain-Netzwerkes aktiviert sein.
Die Firewall-Regeln für den VPN-Tunnel sind aber schon entsprechend angepaßt?
Gruß
Looser
Zitat von @Benji87:
Hallo und allen ein gesundes neues Jahr,
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.
Hallo und allen ein gesundes neues Jahr,
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.
Geht
Ich bin mir ziemlich sicher, dass da auch bereits schonmal geklappt hatte und ich bin mir jetzt nicht mehr sicher ob es an VPN oder der Windows-Installation/-Einrichtung liegt.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.
Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.
Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.
In der Windowsfirewall muss das Antworten auf Pings für Netze ausserhalb des Domain-Netzwerkes aktiviert sein.
Die Netzwerkidentifikation habe ich eigentlich immer deaktiviert, um das als Fehler auszuschließen habe ich diese aber mal testweise an meiner Notebook im Home-Office aktiviert, ändert aber nichts.
Die Firewall-Regeln für den VPN-Tunnel sind aber schon entsprechend angepaßt?
Hätte noch jemand eine Idee, was man am Notebook überprüfen könnte bzw. auch über welchen Dienst das Verwalten realisiert wird?
Beste Grüße
Benjamin
Beste Grüße
Benjamin
Gruß
Looser
Zitat von @Benji87:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel.
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel.
Was pingst Du denn an? Die IP oder den Hostnamen?
🖖
Bei der eingehenden Regel Datei- und Druck...(ICMPv4) ist Profil = Alle mit Beschränkung auf die entsprechenden Netzwerbereiche angegeben. Brauch ich noch eine weiter Regel für die Verwaltung übers AD?
Ich habe sowohl den Namen als auch die IP angepingt.
Da die Firewall-Regeln für den VPN-Tunnel nicht in meiner Hand liegen, wollte ich erstmal meine Systeme überprüfen und evtl. die richtige Regel anfragen. Evtl. liegt es ja gar nicht an der Datei- und Druck...(ICMPv4) sondern es fehlt noch eine.
Danke aber schonmal für eure Rückfragen.
Ich habe sowohl den Namen als auch die IP angepingt.
Da die Firewall-Regeln für den VPN-Tunnel nicht in meiner Hand liegen, wollte ich erstmal meine Systeme überprüfen und evtl. die richtige Regel anfragen. Evtl. liegt es ja gar nicht an der Datei- und Druck...(ICMPv4) sondern es fehlt noch eine.
Danke aber schonmal für eure Rückfragen.
Ok, und welche IP? Aus dem eigenen LAN oder aus dem Entfernten? Wenn es die IP aus dem Entfernten war, stimmt das Routing nicht. Oder, wie @Looser27 schon schrieb, die Windowsfirewall anpassen.
🖖
🖖
In nenne das jetzt mal die VPN-Tunnel-IP, dass passt schon. Wenn ich den Rechner anpinge sehe ich auch die entsprechende IP, die durch den DNS-Server richtig aufgelöst wird (Abgleich über ipconfig).
Also wie gesagt es könnte an der Firewall-Regel des Tunnels liegen aber evtl. guck ich ja auch nach der falschen Regel.
Also wie gesagt es könnte an der Firewall-Regel des Tunnels liegen aber evtl. guck ich ja auch nach der falschen Regel.
Wie schon mehrfach erwähnt:
Standardmäßig block die Windows Firewall sämtliche ICMPs außerhalb der Domäne. Prüfe also mal die zuerst.
Standardmäßig block die Windows Firewall sämtliche ICMPs außerhalb der Domäne. Prüfe also mal die zuerst.
Hmm, die VPN-Tunnel IP wären bei mir die IP´s, die die Firewalls untereinander austauschen um den Tunnel aufzubauen. Das hat ja nix mit der IP hinter dem Tunnel zu tun. Die IP im DNS ist auch wirklich die IP, die der Host am anderen Ende hat? Oder hat der Host lediglich einen VPN Client drauf? Das wäre dann aber auch nur die IP, die für den Tunnel verwendet wird und nicht eine IP aus dem Hostnetz des Clients. Die ist aber die, die Du brauchst und anpingen können mußt.
🖖
🖖
Ich werfe erneut Windows Firewall in den Raum
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Jaaaahaaa! 
Habe ich aber auch schon gesagt bzw. zugestimmt.
🖖
Habe ich aber auch schon gesagt bzw. zugestimmt.🖖
Abend, wie gesagt die IP stimmt. Wenn ich den Rechnernamen anpinge und dahinter die gleiche IP wie für den Ethernet-Adapter unter ipconfig steht und auch bei dem Fileserver die IP angezeigt wird, wenn ich auf Dateien zugreife sollte das schon passen.
Den Artikel hatte ich auch schon gelesen, die eingehende Regel ist auch gesetzt aktiviert und auf den Bereich des kompletten Firmennetz beschränkt.
Ist für die Verwaltung eines Rechners über das AD noch eine andere Regel entscheidend?
Ist für die Verwaltung eines Rechners über das AD noch eine andere Regel entscheidend?
Ist für die Verwaltung eines Rechners über das AD noch eine andere Regel entscheidend?
Internetsuche nach "AD Ports Client to DC" beantwortet Deine Frage.
Gruß
Looser
Vielen Dank.
Um für nachfolgende Leser noch etwas mehr mit auf den Weg zu geben vielleicht noch zwei Punkte.
Der Windows-Redirector verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP durch den DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird und wenn ein Server mithilfe von DFS gefunden wird.
Quelle
Bedeutet für mich, dass der nicht funktionierende Ping damit zusammen hängen könnte.
Weiterhin soll die Kommunikation dann über dynamische Portbereiche umgesetzt werden. Der folgende Abschnitt bezieht sich hierbei auf VPN-Verbindungen.
Eine gekapselte Lösung besteht möglicherweise aus einem VPN-Gateway, das sich hinter einem Filterrouter befindet, der L2TP (Layer 2 Tunneling Protocol) sowie IPSec verwendet. In diesem verkapselten Szenario müssen Sie die folgenden Elemente über den Router zulassen, anstatt alle in diesem Thema aufgeführten Ports und Protokolle zu öffnen:
Um für nachfolgende Leser noch etwas mehr mit auf den Weg zu geben vielleicht noch zwei Punkte.
Der Windows-Redirector verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP durch den DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird und wenn ein Server mithilfe von DFS gefunden wird.
Quelle
Bedeutet für mich, dass der nicht funktionierende Ping damit zusammen hängen könnte.
Weiterhin soll die Kommunikation dann über dynamische Portbereiche umgesetzt werden. Der folgende Abschnitt bezieht sich hierbei auf VPN-Verbindungen.
Eine gekapselte Lösung besteht möglicherweise aus einem VPN-Gateway, das sich hinter einem Filterrouter befindet, der L2TP (Layer 2 Tunneling Protocol) sowie IPSec verwendet. In diesem verkapselten Szenario müssen Sie die folgenden Elemente über den Router zulassen, anstatt alle in diesem Thema aufgeführten Ports und Protokolle zu öffnen:
- IPSec Encapsulating Security Protocol (ESP) (IP-Protokoll 50)
- IPSec-Netzwerkadresse Translator Traversal NAT-T (UDP-Port 4500)
- IPSec-Internet Sicherheitszuordnung und ISAKMP (Key Management Protocol) (UDP-Port 500)
