benji87
Goto Top

Computerverwaltung AD trotz VPN

Hallo und allen ein gesundes neues Jahr,
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.

Ich bin mir ziemlich sicher, dass da auch bereits schonmal geklappt hatte und ich bin mir jetzt nicht mehr sicher ob es an VPN oder der Windows-Installation/-Einrichtung liegt.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.

Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.

Die Netzwerkidentifikation habe ich eigentlich immer deaktiviert, um das als Fehler auszuschließen habe ich diese aber mal testweise an meiner Notebook im Home-Office aktiviert, ändert aber nichts.

Hätte noch jemand eine Idee, was man am Notebook überprüfen könnte bzw. auch über welchen Dienst das Verwalten realisiert wird?


Beste Grüße

Benjamin

Content-ID: 638585

Url: https://administrator.de/contentid/638585

Ausgedruckt am: 25.11.2024 um 10:11 Uhr

Looser27
Looser27 07.01.2021 um 14:08:13 Uhr
Goto Top
Moin,

Zitat von @Benji87:

Hallo und allen ein gesundes neues Jahr,
ich würde gern auch Rechner (Notebooks) die außerhalb des Firmennetzes verwendet werden verwalten können.

Geht

Ich bin mir ziemlich sicher, dass da auch bereits schonmal geklappt hatte und ich bin mir jetzt nicht mehr sicher ob es an VPN oder der Windows-Installation/-Einrichtung liegt.
Da das VPN nicht in meiner Hand liegt, möchte ich erst meine Systeme überprüfen, bevor ich den Kollegen anfrage.

Zum Beispielrechner:
Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel. Der Rechner bzw. der DNS-Eintrag wird aber richtig aktualisiert. Der verwendete Nutzer hat natürlich auch die Rechte um den Rechner verwalten zu dürfen.

In der Windowsfirewall muss das Antworten auf Pings für Netze ausserhalb des Domain-Netzwerkes aktiviert sein.

Die Netzwerkidentifikation habe ich eigentlich immer deaktiviert, um das als Fehler auszuschließen habe ich diese aber mal testweise an meiner Notebook im Home-Office aktiviert, ändert aber nichts.

Die Firewall-Regeln für den VPN-Tunnel sind aber schon entsprechend angepaßt?

Hätte noch jemand eine Idee, was man am Notebook überprüfen könnte bzw. auch über welchen Dienst das Verwalten realisiert wird?


Beste Grüße

Benjamin

Gruß

Looser
Dr.Bit
Dr.Bit 07.01.2021 um 14:39:32 Uhr
Goto Top
Zitat von @Benji87:

Ist in der Domäne und lässt sich innerhalb des Firmennetzes anpingen aber nicht wenn er über VPN verbunden ist. An der Stelle vermute ich auch den Fehler bei der ICMP4-Regel.

Was pingst Du denn an? Die IP oder den Hostnamen?

🖖
Benji87
Benji87 07.01.2021 um 14:53:12 Uhr
Goto Top
Bei der eingehenden Regel Datei- und Druck...(ICMPv4) ist Profil = Alle mit Beschränkung auf die entsprechenden Netzwerbereiche angegeben. Brauch ich noch eine weiter Regel für die Verwaltung übers AD?

Ich habe sowohl den Namen als auch die IP angepingt.

Da die Firewall-Regeln für den VPN-Tunnel nicht in meiner Hand liegen, wollte ich erstmal meine Systeme überprüfen und evtl. die richtige Regel anfragen. Evtl. liegt es ja gar nicht an der Datei- und Druck...(ICMPv4) sondern es fehlt noch eine.

Danke aber schonmal für eure Rückfragen.
Dr.Bit
Dr.Bit 07.01.2021 um 15:00:20 Uhr
Goto Top
Ok, und welche IP? Aus dem eigenen LAN oder aus dem Entfernten? Wenn es die IP aus dem Entfernten war, stimmt das Routing nicht. Oder, wie @Looser27 schon schrieb, die Windowsfirewall anpassen.

🖖
Benji87
Benji87 07.01.2021 um 15:25:24 Uhr
Goto Top
In nenne das jetzt mal die VPN-Tunnel-IP, dass passt schon. Wenn ich den Rechner anpinge sehe ich auch die entsprechende IP, die durch den DNS-Server richtig aufgelöst wird (Abgleich über ipconfig).

Also wie gesagt es könnte an der Firewall-Regel des Tunnels liegen aber evtl. guck ich ja auch nach der falschen Regel.
mshm17
mshm17 07.01.2021 um 15:35:01 Uhr
Goto Top
Wie schon mehrfach erwähnt:

Standardmäßig block die Windows Firewall sämtliche ICMPs außerhalb der Domäne. Prüfe also mal die zuerst.
Dr.Bit
Dr.Bit 07.01.2021 aktualisiert um 15:39:55 Uhr
Goto Top
Hmm, die VPN-Tunnel IP wären bei mir die IP´s, die die Firewalls untereinander austauschen um den Tunnel aufzubauen. Das hat ja nix mit der IP hinter dem Tunnel zu tun. Die IP im DNS ist auch wirklich die IP, die der Host am anderen Ende hat? Oder hat der Host lediglich einen VPN Client drauf? Das wäre dann aber auch nur die IP, die für den Tunnel verwendet wird und nicht eine IP aus dem Hostnetz des Clients. Die ist aber die, die Du brauchst und anpingen können mußt.

🖖
mshm17
mshm17 07.01.2021 aktualisiert um 15:50:04 Uhr
Goto Top
Dr.Bit
Dr.Bit 07.01.2021 um 15:56:01 Uhr
Goto Top
Jaaaahaaa! face-smile Habe ich aber auch schon gesagt bzw. zugestimmt.

🖖
Benji87
Benji87 07.01.2021 um 22:39:04 Uhr
Goto Top
Abend, wie gesagt die IP stimmt. Wenn ich den Rechnernamen anpinge und dahinter die gleiche IP wie für den Ethernet-Adapter unter ipconfig steht und auch bei dem Fileserver die IP angezeigt wird, wenn ich auf Dateien zugreife sollte das schon passen.
Benji87
Benji87 07.01.2021 um 22:43:24 Uhr
Goto Top
Den Artikel hatte ich auch schon gelesen, die eingehende Regel ist auch gesetzt aktiviert und auf den Bereich des kompletten Firmennetz beschränkt.

Ist für die Verwaltung eines Rechners über das AD noch eine andere Regel entscheidend?
Looser27
Looser27 08.01.2021 aktualisiert um 10:18:49 Uhr
Goto Top
Ist für die Verwaltung eines Rechners über das AD noch eine andere Regel entscheidend?

Internetsuche nach "AD Ports Client to DC" beantwortet Deine Frage.

Gruß

Looser
Benji87
Benji87 08.01.2021 um 14:05:50 Uhr
Goto Top
Vielen Dank.

Um für nachfolgende Leser noch etwas mehr mit auf den Weg zu geben vielleicht noch zwei Punkte.


Der Windows-Redirector verwendet auch ICMP-Ping-Nachrichten, um zu überprüfen, ob eine Server-IP durch den DNS-Dienst aufgelöst wird, bevor eine Verbindung hergestellt wird und wenn ein Server mithilfe von DFS gefunden wird.
Quelle

Bedeutet für mich, dass der nicht funktionierende Ping damit zusammen hängen könnte.


Weiterhin soll die Kommunikation dann über dynamische Portbereiche umgesetzt werden. Der folgende Abschnitt bezieht sich hierbei auf VPN-Verbindungen.

Eine gekapselte Lösung besteht möglicherweise aus einem VPN-Gateway, das sich hinter einem Filterrouter befindet, der L2TP (Layer 2 Tunneling Protocol) sowie IPSec verwendet. In diesem verkapselten Szenario müssen Sie die folgenden Elemente über den Router zulassen, anstatt alle in diesem Thema aufgeführten Ports und Protokolle zu öffnen:

  • IPSec Encapsulating Security Protocol (ESP) (IP-Protokoll 50)
  • IPSec-Netzwerkadresse Translator Traversal NAT-T (UDP-Port 4500)
  • IPSec-Internet Sicherheitszuordnung und ISAKMP (Key Management Protocol) (UDP-Port 500)
Quelle