j1m3e84
Goto Top

Domäne Erreichbarkeit durch VPN

Hallo,

wir möchten unsere Externen Büros / Mitarbeiter auf den Baustellen mit in die Domäne holen.
Aktuell hat jeder User seinen Persönlichen VPN Zugang womit er in unserer Domäne arbeiten kann.

Momentan nutzen wir in der Domäne noch die Aufforderung (Pflicht) nach 90 Tagen sein Passwort zu ändern.

Wir haben es schon geschafft, User extern per Notebook in die Domäne zu holen mit folgenden Vorgang:

User meldet sich an seinem Notebook mit einem Lokalen User an
es wird die VPN Verbindung aufgebaut
Notebook wird in die Domäne geholt -> PC muss neu gestartet werden
User meldet sich wieder mit Lokalem User an
erneute VPN aufauben
DANN klickt der User auf "Benutzer Wechseln" (wodurch die VPN verbindung im Hintergund bestehen bleibt)
JETZT kann sich der User mit seinem Domänenbenutzer anmelden

Da wird as erst seit neuestem so umsetzen:

Seht Ihr darin irgendwelche Probleme?
Kennt Ihr bessere Wege?
- Hierzu spielen wir mit dem Gedanken in Büro´s mit der "Sophos RED" Box zu arbeiten, welche eine Standleitung mit unserem VPN-Netz aufbaut und wie ein Switch funktioniert
(aber die Anschaffung für einzelne Mitarbeiter auf Baustellen wäre zu Teuer)

Worüber ich mir gedanken mache ist die 90Tage PW-Änderung:

Wenn sich der user ohne über den Lokalen User sich anmeldet (was ja nach der 1. Anmeldung problemlos klappt) ist er ja im moment der Anmeldung nicht in der Domäne.
Erst wenn er angemeldet ist. Somit: Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.

Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...

Hat jemand eine bessere Idee was man machen könnte?

VG und danke für die Unterstützung!

j1m3e

Content-ID: 561345

Url: https://administrator.de/contentid/561345

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

tikayevent
tikayevent 27.03.2020 um 08:48:33 Uhr
Goto Top
Es gibt VPN-Clients, die es ermöglichen, bereits vor der Benutzeranmeldung eine VPN-Verbindung aufzubauen. Vielleicht ist das mit deinem Client möglich oder man müsste sich eine andere VPN-Lösung anschauen. Cisco AnyConnect kann es mit dem GINA-Modul.

Daher wäre wohl der einfachste Schritt die 90 Tage PW-Änderung zu deaktivieren, was ich aber so eigentlich nicht möchte...
Früher war es eine Empfehlung vom BSI, mittlerweile hat das BSI den regelmäßigen Passwortwechsel NICHT mehr auf der Liste, sondern es gilt die Aussage, dass ein ausreichend langes, nicht bekannt gewordenes Passwort ausreichend sicher ist.
142583
142583 27.03.2020 um 09:54:12 Uhr
Goto Top
Schon mal was von Direct Access oder Always-On gehört?
j1m3e84
j1m3e84 27.03.2020 um 09:59:37 Uhr
Goto Top
Wie sieht es eigentlich mit dem Domänen User auf dem Notebook aus:

wenn die 90 Tage PW-Zwangsänderung deaktiviert ist, wird der Domänen User auf dem Notebook trotzdem irgendwann "ausgesperrt"
weil er x Tage nicht mit dem DC verbunden war oder kann er den Login auf ewige Zeit nutzen?
j1m3e84
j1m3e84 27.03.2020 um 09:59:56 Uhr
Goto Top
Zitat von @142583:

Schon mal was von Direct Access oder Always-On gehört?


nein leider nicht
142583
142583 27.03.2020 um 10:41:21 Uhr
Goto Top
Meiner Meinung nach ist es die leistungsfähigste und beste Art seine Roadwarrior online zu bringen.

Unterm Strich, alle Vorraussetzungen erledigt und auch finanziert, muss das Gerät nur noch online sein und ALLES andere ist so als wäre man im LAN.
manuel-r
manuel-r 27.03.2020 um 10:55:52 Uhr
Goto Top
Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.

Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.

Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.

Manuel
j1m3e84
j1m3e84 27.03.2020 um 11:11:12 Uhr
Goto Top
Zitat von @manuel-r:

Kommt die aufforderung zum Passwort ändern wird diese Änderung nicht an die Domäne geschickt somit wird er sich nicht mehr anmelden können.

Doch. Der User kann sich auch nach den 90 Tagen noch mit seinem bisher gültigen Kennwort anmelden. Auch noch nach 120 Tagen.
Sobald er aber (per VPN) Verbindung zur Domäne bekommt meldet sich sein Notebook wegen dem abgelaufenen Kennwort.

Der Ablauf ist dann folgendermaßen:
Der Benutzer wird aufgefordert seinen Desktop zu sperren und wieder zu entsperren.
Beim Entsperren erfolgt Abgleich mit der Domäne woraufhin sich Windows mit der bekannten Meldung "Ihr Kennwort ist abgelaufen und muss geändert werden" beim Benutzer meldet.
Das macht der Benutzer dann und alles ist wie es sein soll.

Manuel

Ah ok. Aber hier ist dann unser Problem: Sboald der Benutzer den PC Sperrt wird die VPN verbindung (softwarelösung) getrennt (was beim benutzer wechsel nicht passiert) wodurch wiederum dann das neue Passwort nicht an die domäne übertragen wird oder?
manuel-r
manuel-r 27.03.2020 um 11:19:48 Uhr
Goto Top
Wo gibt's denn sowas?
Das müsste man dann wohl ausprobieren.
DerWoWusste
DerWoWusste 27.03.2020 um 14:16:02 Uhr
Goto Top
Sboald der Benutzer den PC Sperrt wird die VPN verbindung (softwarelösung) getrennt (was beim benutzer wechsel nicht passiert)
Das ist deine Theorie. Mit Sicherheit ist das nicht so. Sperren ist kein Abmelden.