nordicmike
Goto Top

Notebooks über OpenVPN wollen immer den DC erreichen

Moin zusammen,

wir fahren hier ein Hybrid Netzwerk, Hälfte Windows, Hälfte Linux. Der Linux Dateiserver liefert über Samba die Netzwerklaufwerke an alle Clients. Der Linux Dateiserver soll nicht übers AD angebunden werden. Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.

Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden. Nur, sobald die Kommunikation zu den DC's vom OpenVPN aus gesperrt wird, kann sich der Client über OpenVPN keine Samba Freigaben vom Linux Server mehr holen. Ich habe ermittelt, dass der erste Verbindungsversuch immer als User <domain>\<username> stattfindet und dann hängt die ganze Kiste auf einmal, da die DCs ja gesperrt sind (Firewall steht auf deny, nicht auf drop). Wireshark erkennt in der Zeit Anfrageversuche zum DC, klar, er will sich ja mit dem Domain Namen authentifizieren. Wartet man diesen Hänger ab und verbindet dann das Linux Laufwerk mit <hostname>\<username>, funktioniert es dann sofort.

Wie bekommen man den Windows 10 Client (der in der Domain integriert ist) dazu sich nicht mit den Domänencredentials am Linux Server zu authentifizieren?

Zuerst dachte ich an ein Loginscript, das sie Laufwerke mappt und in dem dann einfach die richtigen Credentials mitgegeben werden, jedoch, wenn der User auf die Idee kommt die Pfade direkt einzutippen, wird wieder mit den Domänencredentials versucht sich zu authentifizieren und die Kiste hängt.

Danke Euch and keep rockin

Der Mike

Content-Key: 571037

Url: https://administrator.de/contentid/571037

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 11.05.2020 aktualisiert um 17:41:50 Uhr
Goto Top
Moin,

schau mal hier: https://blogs.sap.com/2016/08/07/how-to-disable-single-sign-on-sso-and-e ...

Vielleicht hilft es ja.

Standardmäßig verwendet Windows, vor allem wenn in einer Domäne, die gecachten Nutzerdaten und die Authentifizierung im Hintergrund durchzuführen.

Wenn Du das in den Zonen ausschaltest, dürfte jedes Mal gefragt werden.

Alternativ:
Trag die Linuxbüchse in eine untrusted-Zone ein. Das dürfte denselben Effekt haben.

Gruß
bdmvg

P.S. Euer VPN-Admin tut sich und Euch aus meiner Sicht langfristig keinen Gefallen, wenn er die Kommunikation zum DC blockt.
Mitglied: NordicMike
NordicMike 11.05.2020 aktualisiert um 17:58:28 Uhr
Goto Top
Nur zum Verständnis. Der Link führt zu einer Anleitung beim Internet Browser. Deine Alternative mit der Zone wird auch im Internet Browser eingestellt. Gilt das dann auch für die Samba Freigaben?

Euer VPN-Admin tut sich und Euch aus meiner Sicht langfristig keinen Gefallen, wenn er die Kommunikation zum DC blockt.
Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Mitglied: SeaStorm
SeaStorm 11.05.2020 um 19:02:14 Uhr
Goto Top
Zitat von @NordicMike:

Moin zusammen,

Hi
Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Wat? Dieser verbohrte Linuxer Schwachsinn immer. Keine Ahnung, aber Hauptsache ne Meinung.
Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden.
Ist das der gleiche der doppelte Benutzerkonten erzwingt aus homöopathischen gründen?
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.

Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Unter anderem würde ein User keine neuen Gruppenmitgliedschaften erhalten. Ebenso Gruppenrichtlinien. Oder gesperrte Benutzerkonten, Zertifikate usw würde alles nicht am User ankommen.
Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen
Mitglied: Aminis
Aminis 11.05.2020 um 21:16:58 Uhr
Goto Top
Nabend,

der OpenVPN Client bringt doch die Möglichkeit mit Scripte zu starten, sobald die Verbindung steht. Abgesehen davon, kann ich SeaStorm nur zustimmen.


Grüße
Mitglied: erikro
erikro 11.05.2020 aktualisiert um 21:22:39 Uhr
Goto Top
Moin,

Zitat von @SeaStorm:

Zitat von @NordicMike:

Moin zusammen,

Hi
Wir haben aso eine getrennte und doppelte Userverwaltung, weil, das Windows Netzwerk ist der Teufel und soll das Linux Netzwerk nicht stören.
Wat? Dieser verbohrte Linuxer Schwachsinn immer. Keine Ahnung, aber Hauptsache ne Meinung.

Zumal es das böse AD ja auch als Samba-Server gibt. face-wink

Aus Sicherheitsgründen will der VPN Administrator die Erreichbarkeit zum DC unterbinden.
Ist das der gleiche der doppelte Benutzerkonten erzwingt aus homöopathischen gründen?

YMMD

WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.

Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?

Was würde passieren, wenn die Notebooks, die unterwegs sind, keinen Kontakt zum DC bekommen?
Unter anderem würde ein User keine neuen Gruppenmitgliedschaften erhalten. Ebenso Gruppenrichtlinien. Oder gesperrte Benutzerkonten, Zertifikate usw würde alles nicht am User ankommen.
Stellt einfach einen RODC hin, nagelt den Firewalltechnisch komplett zu und erfreut euch an funktionierenden Dingen.
Und feuert den\die Admins die diesen Unsinn verzapfen

Wenn das man nicht der Chef ist, der sich das ausgedacht hat. face-wink

Liebe Grüße

Erik

P. S.: Hätte nie gedacht, dass es mal ein Problem ist, dass die Rechner via VPN mit dem DC kommunizieren. Umgekehrt wird ein Problem daraus.
Mitglied: SeaStorm
SeaStorm 11.05.2020 um 21:35:48 Uhr
Goto Top
WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.

Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Ich glaub das habe ich damals schon mit einem 2003er aber allerspätestens mit 2008 genutzt
Mitglied: erikro
erikro 11.05.2020 um 21:41:02 Uhr
Goto Top
Zitat von @SeaStorm:

WENN man sowas will, dann stellt man einen RODC in ein für die VPN-Clients erreichbare DMZ.

Das geht seti 2017 sogar mit Samba. Seit wann kann das der böse Teufel Windows?
Ich glaub das habe ich damals schon mit einem 2003er aber allerspätestens mit 2008 genutzt

2008 war die erste Version mit RODC. Mal gucken, wie rund die unter Samba laufen. Wir haben endlich schnelle Leitungen überall bekommen und wollen nun die Außenstandorte direkt an die Domain anbinden. Da werde ich so einige RODCs installieren. Hui und die kommunizieren dann über VPN mit der Zentrale. face-wink
Mitglied: SeaStorm
SeaStorm 11.05.2020 um 21:55:54 Uhr
Goto Top
zu dem Thema kann ich dann mal http://www.rebeladmin.com/2014/10/password-replication-in-rodc/ empfehlen als grobe Erklärung zur PW-Replikation auf einem RODC
Mitglied: erikro
erikro 11.05.2020 um 22:08:31 Uhr
Goto Top
Danke. Aber nicht jetzt. face-wink Das artet in Arbeit aus. Ist gebüchermarkiert. (oder sagt man gelesezeichnet?)