9
Notebooks über OpenVPN wollen immer den DC erreichen
Moin zusammen,
wir fahren hier ein Hybrid Netzwerk, Hälfte Windows, Hälfte Linux. Der Linux Dateiserver liefert über Samba die Netzwerklaufwerke an alle Clients. Der Linux Dateiserver soll nicht übers AD angebunden werden. Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden. Nur, sobald die Kommunikation zu den DC's vom OpenVPN aus gesperrt wird, kann sich der Client über OpenVPN keine Samba Freigaben vom Linux Server mehr holen. Ich habe ermittelt, dass der erste Verbindungsversuch immer als User <domain>\<username> stattfindet und dann hängt die ganze Kiste auf einmal, da die DCs ja gesperrt sind (Firewall steht auf deny, nicht auf drop). Wireshark erkennt in der Zeit Anfrageversuche zum DC, klar, er will sich ja mit dem Domain Namen authentifizieren. Wartet man diesen Hänger ab und verbindet dann das Linux Laufwerk mit <hostname>\<username>, funktioniert es dann sofort.
Wie bekommen man den Windows 10 Client (der in der Domain integriert ist) dazu sich nicht mit den Domänencredentials am Linux Server zu authentifizieren?
Zuerst dachte ich an ein Loginscript, das sie Laufwerke mappt und in dem dann einfach die richtigen Credentials mitgegeben werden, jedoch, wenn der User auf die Idee kommt die Pfade direkt einzutippen, wird wieder mit den Domänencredentials versucht sich zu authentifizieren und die Kiste hängt.
Danke Euch and keep rockin
Der Mike
wir fahren hier ein Hybrid Netzwerk, Hälfte Windows, Hälfte Linux. Der Linux Dateiserver liefert über Samba die Netzwerklaufwerke an alle Clients. Der Linux Dateiserver soll nicht übers AD angebunden werden. Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden. Nur, sobald die Kommunikation zu den DC's vom OpenVPN aus gesperrt wird, kann sich der Client über OpenVPN keine Samba Freigaben vom Linux Server mehr holen. Ich habe ermittelt, dass der erste Verbindungsversuch immer als User <domain>\<username> stattfindet und dann hängt die ganze Kiste auf einmal, da die DCs ja gesperrt sind (Firewall steht auf deny, nicht auf drop). Wireshark erkennt in der Zeit Anfrageversuche zum DC, klar, er will sich ja mit dem Domain Namen authentifizieren. Wartet man diesen Hänger ab und verbindet dann das Linux Laufwerk mit <hostname>\<username>, funktioniert es dann sofort.
Wie bekommen man den Windows 10 Client (der in der Domain integriert ist) dazu sich nicht mit den Domänencredentials am Linux Server zu authentifizieren?
Zuerst dachte ich an ein Loginscript, das sie Laufwerke mappt und in dem dann einfach die richtigen Credentials mitgegeben werden, jedoch, wenn der User auf die Idee kommt die Pfade direkt einzutippen, wird wieder mit den Domänencredentials versucht sich zu authentifizieren und die Kiste hängt.
Danke Euch and keep rockin
Der Mike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571037
Url: https://administrator.de/contentid/571037
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
schau mal hier: https://blogs.sap.com/2016/08/07/how-to-disable-single-sign-on-sso-and-e ...
Vielleicht hilft es ja.
Standardmäßig verwendet Windows, vor allem wenn in einer Domäne, die gecachten Nutzerdaten und die Authentifizierung im Hintergrund durchzuführen.
Wenn Du das in den Zonen ausschaltest, dürfte jedes Mal gefragt werden.
Alternativ:
Trag die Linuxbüchse in eine untrusted-Zone ein. Das dürfte denselben Effekt haben.
Gruß
bdmvg
P.S. Euer VPN-Admin tut sich und Euch aus meiner Sicht langfristig keinen Gefallen, wenn er die Kommunikation zum DC blockt.
schau mal hier: https://blogs.sap.com/2016/08/07/how-to-disable-single-sign-on-sso-and-e ...
Vielleicht hilft es ja.
Standardmäßig verwendet Windows, vor allem wenn in einer Domäne, die gecachten Nutzerdaten und die Authentifizierung im Hintergrund durchzuführen.
Wenn Du das in den Zonen ausschaltest, dürfte jedes Mal gefragt werden.
Alternativ:
Trag die Linuxbüchse in eine untrusted-Zone ein. Das dürfte denselben Effekt haben.
Gruß
bdmvg
P.S. Euer VPN-Admin tut sich und Euch aus meiner Sicht langfristig keinen Gefallen, wenn er die Kommunikation zum DC blockt.
Nur zum Verständnis. Der Link führt zu einer Anleitung beim Internet Browser. Deine Alternative mit der Zone wird auch im Internet Browser eingestellt. Gilt das dann auch für die Samba Freigaben?
Euer VPN-Admin tut sich und Euch aus meiner Sicht langfristig keinen Gefallen, wenn er die Kommunikation zum DC blockt.
Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Hi
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.
Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen
Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Wat? Dieser verbohrte Linuxer Schwachsinn immer. Keine Ahnung, aber Hauptsache ne Meinung.Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden.
Ist das der gleiche der doppelte Benutzerkonten erzwingt aus homöopathischen gründen?WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.
Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Unter anderem würde ein User keine neuen Gruppenmitgliedschaften erhalten. Ebenso Gruppenrichtlinien. Oder gesperrte Benutzerkonten, Zertifikate usw würde alles nicht am User ankommen.Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen
Nabend,
der OpenVPN Client bringt doch die Möglichkeit mit Scripte zu starten, sobald die Verbindung steht. Abgesehen davon, kann ich SeaStorm nur zustimmen.
Grüße
der OpenVPN Client bringt doch die Möglichkeit mit Scripte zu starten, sobald die Verbindung steht. Abgesehen davon, kann ich SeaStorm nur zustimmen.
Grüße
Moin,
Zumal es das böse AD ja auch als Samba-Server gibt.
YMMD
Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen
Wenn das man nicht der Chef ist, der sich das ausgedacht hat.
Liebe Grüße
Erik
P. S.: Hätte nie gedacht, dass es mal ein Problem ist, dass die Rechner via VPN mit dem DC kommunizieren. Umgekehrt wird ein Problem daraus.
Zitat von @SeaStorm:
Hi
Hi
Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Wat? Dieser verbohrte Linuxer Schwachsinn immer. Keine Ahnung, aber Hauptsache ne Meinung.Zumal es das böse AD ja auch als Samba-Server gibt.
Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden.
Ist das der gleiche der doppelte Benutzerkonten erzwingt aus homöopathischen gründen?YMMD
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.
Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Unter anderem würde ein User keine neuen Gruppenmitgliedschaften erhalten. Ebenso Gruppenrichtlinien. Oder gesperrte Benutzerkonten, Zertifikate usw würde alles nicht am User ankommen.Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen
Wenn das man nicht der Chef ist, der sich das ausgedacht hat.
Liebe Grüße
Erik
P. S.: Hätte nie gedacht, dass es mal ein Problem ist, dass die Rechner via VPN mit dem DC kommunizieren. Umgekehrt wird ein Problem daraus.
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.
Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Zitat von @SeaStorm:
Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Ich glaub das habe ich damals schon mit einem 2003er aber allerspätestens mit 2008 genutzt
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.
Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
2008 war die erste Version mit RODC. Mal gucken, wie rund die unter Samba laufen. Wir haben endlich schnelle Leitungen überall bekommen und wollen nun die Außenstandorte direkt an die Domain anbinden. Da werde ich so einige RODCs installieren. Hui und die kommunizieren dann über VPN mit der Zentrale.
zu dem Thema kann ich dann mal http://www.rebeladmin.com/2014/10/password-replication-in-rodc/ empfehlen als grobe Erklärung zur PW-Replikation auf einem RODC
Danke. Aber nicht jetzt. Das artet in Arbeit aus. Ist gebüchermarkiert. (oder sagt man gelesezeichnet?)
Das artet in Arbeit aus. Ist gebüchermarkiert. (oder sagt man gelesezeichnet?)
