zacharias
Goto Top

Passwortabgleich - Domäne vs. lokales System (Nach VPN-Passwortänderung)

Hallo Leute,

In letzter Zeit habe ich vermehrt Probleme mit Usern, welche ihr Passwort über eine VPN-Verbindung
ändern.

back-to-topSzenario:
  1. User geht auf Dienstreise
  2. User ändert via VPN sein Passwort
  3. Dies hat zur Folge, dass das Passwort innerhalb der Domäne auf einen neuen Wert gesetzt wurde aber lokal noch immer das "alte" Passwort gültig ist.

back-to-topProblem:
Somit gibt es Probleme mit den Anwendungen, denn der User meldet sich lokal mit seinem "alten" Kennwort
auf der lokalen Maschine an, stellt danach eine VPN-Verbindung her (neues Kennwort wird benötigt, da dieses
in der Domäne gültig ist). Wenn der User aber nun z.B. Outlook starten will authentifiziert sich dieses mit dem
"alten" Kennwort gegenüber dem MX-Server und somit kann keine Verbindung aufgebaut werden.

Gibt es eine Möglichkeit hier wieder synchron zu werden? D.h. dass das neu gesetzt Domänenkennwort auch
zur lokalen Maschine repliziert wird?


LG
Zacharias

Content-ID: 143467

Url: https://administrator.de/contentid/143467

Ausgedruckt am: 08.11.2024 um 16:11 Uhr

Pjordorf
Pjordorf 25.05.2010 um 14:43:44 Uhr
Goto Top
Hallo Zacharias,

Also dein User geht auf Dienstreise. Er ändert während der Dienstreise sein Domänenpasswort per VPN.

Was hat das jetzt mit deinem Lokalen Passwort zu tun?

Ist der User schon wieder von der Dienstreise zurück und will sich an seinem Rechner LOKAL anmelden oder will eine anderer während der Dienstreise sich an dem PC LOKAL anmelden?

Ist denn der Rechner nicht in der Domäne?

Und vielleicht erklärst du mal die genauen Schritte, welche deine User machen um per VPN ihr Domänenpasswort zu ändern.

Peter
zacharias
zacharias 25.05.2010 um 16:30:18 Uhr
Goto Top
Hallo Peter,

Erstmal Danke für deine Unterstüztung.

Ich werde versuchen, dieses Problem anders zu erklären, vllt. ist es dann verständlicher.
(Bitte die Sinnhaftigkeit von dem Beispiel ignorieren *gg*)

Nehmen wir an unser User hat 2 Clients

- Notebook (WinXP SP3)
- Desktop (WinXP SP3)

... und hat folgende Benutzerdaten:

- Benutzername: MyUser
- Kennwort: MyPassword


Die beiden Clients sind in einer Domäne und via LAN an's Firmennetzwerk angeschlossen.
Der User kann sich nach Lust und Laune ab- und anmelden und wir gehen mal davon aus,
dass alles funktioniert. D.h. in diesem Moment cached Windows die Benutzerdaten des Users
lokal, damit sich dieser auch OHNE Netzwerk anmelden kann.

Angenommen der User nimmt nun sein Notebook mit nachhause um HomeOffice zu betreiben.
Er kann sich mit den Benutzerdaten zuhause "offline" mit den Benutzerdaten "MyUser" und "MyPassword"
am Notebook anmelden (da diese Daten ja offline gecached wurden).

Gehen wir davon aus, dass der User am nächsten Tag wieder in's Büro fährt aber das Notebook zuhause
lässt. Wie es der Zufall will bekommt der User bei der Anmeldung am Desktop-PC die Info, das sein Passwort
ablaufen wird und ändert dieses prompt in "MyNEWPassword".

Jetzt haben wir folgende Situation:

Der User hat jetzt folgende Passwörter gesetzt:

- Domäne: "MyNEWPassword"
- Desktop-PC: "MyNEWPassword"
- Notebook: "MyPassword"

Da das Notebook zuhause steht ohne eine Verbindung mit dem DomainController bekommt es natürlich nichts
von dieser Änderung mit.

Am Abend fährt unser User wieder heim und will sich am Notebook anmelden. Tja ... funktioniert natürlich nicht mit
dem neuen Passwort "MyNEWPassword", da am Noteook noch das alte Passwort "MyPassword" aktiv ist. Also muss
sich der User mit den ALTEN Benutzerdaten anmelden. Danach kann er eine Internetverbindung aufbauen und sich mit
seiner VPN-Software in's Firmennetzwerk einwählen.
Der User muss sich bei der VPN-Authentifizerung natürlich mit den neuen Benutzerdaten anmelden. D.h. er hat jetzt ZWEI
Kennwörter: Für die lokale (offline) Anmeldung am Notebook nimmt er das Passwort "MyPassword" (weil das Notebook die
Änderung ja nicht mitbekommen hat) und damit er eine VPN-Verbindung aufbauen kann benötigt er jedoch schon das
Passwort "MyNEWPassword" weil er sich gegenüber der Domäne authentifizieren muss.

Jetzt kommen die Konsequenzen:

Da sich der User am Notebook offline anmeldet (mit den alten Benutzerdaten) laufen auch die Programme unter diesem
Userkontext (also mit den "falschen" Benutzerdaten).
Bsp: Outlook.exe wird am Notebook mit den Benutzerdaten "MyUser" und "MyPassword" ausgeführt. Da wir aber eine
VPN-Verbindung hergestellt haben, kann sich der User natürlich mit dem ExchangeServer verbinden. Outlook schickt
natürlich die Benutzerdaten mit ("MyUser" und "MyPassword") aber der ExchangeServer wartet auf "MyUser" und "MyNEWPassword".
Deshalb kann keine Verbindung aufgebaut werden.

WIE bekomme ich es jetzt hin, dass die Passwörter lokal am Notebook "aktualisiert" werden?? Es ist also notwendig, dass ein abgleich
zwischen den gespeicherten Benutzerdaten am Notebook und den aktuellen Benutzerdaten innerhalb der Domäne durchgeführt wird.

Das Problem hatte ich schon mehrmals unter den verschiedensten Umständen und ich konnte es bisher noch nicht wirklich lösen. Ein
WorkAround ist, dass ich den User nochmals das "ALTE" Passwort setze, denn dann ist das alte Passwort zugleich das neue Passwort
und alles funktioniert. Aus Datenschutzgründen (und ...) kann das natürlich keine Lösung sein.


Sorry für die umständliche Erklärung, aber was bessers ist mir jetzt nicht eingefallen face-smile.

Vllt. ein Bsp. zum Vergleich:
Angenommen der User arbeitet zuhause offline am Notebook (aber mit seinem Domänenbenutzer) und ein Admin ändert eine Policy. Das
Notebook bekommt das natürlich im offlineModus nicht mit, man kann die Policy aber mit "gpupdate /sync" oder "/force" abgleichen. GENAU
SOWAS suche ich ... nur eben für die Benutzeranmeldedaten.

Irgendwie glaub ich aber, dass ich bei diesem Thema mit der Kirche ums Kreuz laufe. Aber bei diesem Problem häng ich immer wieder.

Danke und LG
zacharias
BerraBerra
BerraBerra 05.09.2017 um 06:51:42 Uhr
Goto Top
Hallo,

hat denn keiner hierfür eine Lösung?
Wir haben das gleiche Problem.

Lieben Gruß
133883
133883 05.09.2017 aktualisiert um 07:47:00 Uhr
Goto Top
Das VPN vor der Benutzeranmeldung herstellen lassen bzw. direkt bei der Anmeldung, dann kommt es erst gar nicht zu der Situation.

Gruß
BerraBerra
BerraBerra 05.09.2017 um 10:32:13 Uhr
Goto Top
Hallo,
VPN kann leider erst nach der Anmeldung aktiviert werden.
Genau das ist ja das Problem.

Aber ich habe die Lösung gefunden:

Man loggt sich als lokaler Administrator ein und startet VPN mit der Domain-Useranmeldung.
Dann wechselt man den Benutzer und meldet sich mit dem Domänen-Benutzer und dem neuen Kennwort an.
Nun hat auch der Rechner das aktuelle Passwort und der User kann wie gewohnt arbeiten.

Wichtig: Man sollte sich vorher vielleicht noch mal als User anmelden und das lokale Administrator-Konto überprüfen.
Erstens, ob es nicht deaktiviert ist und zweitens vielleicht das Passwort erneuern/aktualisieren.

Lieben Gruß
BerraBerra
Pjordorf
Pjordorf 05.09.2017 aktualisiert um 10:45:05 Uhr
Goto Top
Hallo,

Zitat von @BerraBerra:
VPN kann leider erst nach der Anmeldung aktiviert werden.
Genau das ist ja das Problem.
Falsche Konfig und oder Hardware.
https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logo ...
https://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
https://superuser.com/questions/783311/connect-to-vpn-before-windows-7-s ...
Ein Standort - zu - Standort VPN kann es auch und ist je nach Umgebung vorzuziehen.

Aber ich habe die Lösung gefunden:
Nicht wirklich da ein Benutzer auch das Lokale Admin Passwort nicht wissen soll.

Gruß,
Peter

https://community.spiceworks.com/topic/746194-start-vpn-before-login
https://www.paloaltonetworks.com/documentation/60/globalprotect/global_p ...
https://github.com/OpenVPN/openvpn-gui/issues/77
BerraBerra
BerraBerra 05.09.2017 um 12:57:02 Uhr
Goto Top
Wir haben aber leider eine installierte Lösung, die sich erst startet, wenn der User es anklickt.
Dass es eine andere Möglichkeit gibt, weiß ich, aber wie gesagt, die haben wir nicht im Einsatz.

Das lokale Admin-Passwort kann im Nachhinein wieder geändert werden.
Pjordorf
Pjordorf 05.09.2017 um 13:06:03 Uhr
Goto Top
Hallo,

Zitat von @BerraBerra:
Wir haben aber leider eine installierte Lösung, die sich erst startet, wenn der User es anklickt.
Und was hat das mit den Startzeitpunkt deiner Client basierten VPN Lösung zu tun?

Das lokale Admin-Passwort kann im Nachhinein wieder geändert werden.
Tatsächlich face-smile

Gruß,
Peter