Probleme mit Domänenanmeldung via VPN
Hallo,
ich habe bei einem neu eingerichteten Laptop folgendes Problem:
Wenn man sich lokal an der Domäne anmeldet funktioniert alles wie es soll.
Netzlaufwerke werden verbunden, etc.
Wenn der Laptop aber außer Haus ist und sich der Nutzer anmeldet, dann kann er die Domäne ja erstmal nicht erreichen und die Netzlaufwerke haben ein rotes X.
Danach folgt die manuelle Verbindung via OpenVPN.
Der Netzlaufwerkezugriff funktioniert danach trotzdem nicht. Fehlermedlung "Konnte sich nicht an der Domäne anmelden".
Erst wenn ich über den Explorer den Fileserver ansteuere, kommt das Fenster mit der Username und Passwortabfrage für den Zugriff auf den Fileserver.
Danach läuft alles scheinbar rund.
Ich dachte auch schon, dass es daran liegt, dass der Laptop den Namen des Fileservers auflösen kann und habe deshalb dessen Name und IP in der Hosts hinterlegt.
Meine Fragen:
1. Warum kommt beim klick auf die Netzwerkordner nicht die Passwortabfrage
2. Warum muss ich überhaupt Username und Passwort eingeben, wenn der Login beim Laptop schon mit den Domänenanmeldedaten vollzogen wurde
3. Kann ich das irgendwie automatisieren, dass die Domänenanmeldung nach der Verbindung via VPN nochmals (mit den schon eingegebenen Daten) erfolgt.
Danke und Gruß
ich habe bei einem neu eingerichteten Laptop folgendes Problem:
Wenn man sich lokal an der Domäne anmeldet funktioniert alles wie es soll.
Netzlaufwerke werden verbunden, etc.
Wenn der Laptop aber außer Haus ist und sich der Nutzer anmeldet, dann kann er die Domäne ja erstmal nicht erreichen und die Netzlaufwerke haben ein rotes X.
Danach folgt die manuelle Verbindung via OpenVPN.
Der Netzlaufwerkezugriff funktioniert danach trotzdem nicht. Fehlermedlung "Konnte sich nicht an der Domäne anmelden".
Erst wenn ich über den Explorer den Fileserver ansteuere, kommt das Fenster mit der Username und Passwortabfrage für den Zugriff auf den Fileserver.
Danach läuft alles scheinbar rund.
Ich dachte auch schon, dass es daran liegt, dass der Laptop den Namen des Fileservers auflösen kann und habe deshalb dessen Name und IP in der Hosts hinterlegt.
Meine Fragen:
1. Warum kommt beim klick auf die Netzwerkordner nicht die Passwortabfrage
2. Warum muss ich überhaupt Username und Passwort eingeben, wenn der Login beim Laptop schon mit den Domänenanmeldedaten vollzogen wurde
3. Kann ich das irgendwie automatisieren, dass die Domänenanmeldung nach der Verbindung via VPN nochmals (mit den schon eingegebenen Daten) erfolgt.
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665865
Url: https://administrator.de/forum/probleme-mit-domaenenanmeldung-via-vpn-665865.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo Ghent,
ich gehe davon aus das der OpenVPN Client einfach die entsprechenden Ports für das Active Directory nicht freigegeben hat.
Deshalb ist auch keine Authentifizierung am AD Controller möglich.
Hier mal eine Liste an Ports welche für das Active Directory benötigt werden:
https://isc.sans.edu/diary/Cyber+Security+Awareness+Month+-+Day+27+-+Act ...
Das der anfängliche Zugriff nicht möglich ist könnte daran liegen das du den OpenVPN Clients keinen Domain Suffix mitgibst.
Dies kannst du in der Regel auf deinem OpenVPN Server konfigurieren.
Ich verwende beispielsweise OpnSense als OpenVPN Server, hier kann ich es unter VPN -> OpenVPN -> "meinen Server" -> DNS Default Domain konfigureren. Also hier dann meineDomain.local bspw. rein.
Danach sollte es eigentlich klappen.
Beste Grüße
Somebody
ich gehe davon aus das der OpenVPN Client einfach die entsprechenden Ports für das Active Directory nicht freigegeben hat.
Deshalb ist auch keine Authentifizierung am AD Controller möglich.
Hier mal eine Liste an Ports welche für das Active Directory benötigt werden:
https://isc.sans.edu/diary/Cyber+Security+Awareness+Month+-+Day+27+-+Act ...
Das der anfängliche Zugriff nicht möglich ist könnte daran liegen das du den OpenVPN Clients keinen Domain Suffix mitgibst.
Dies kannst du in der Regel auf deinem OpenVPN Server konfigurieren.
Ich verwende beispielsweise OpnSense als OpenVPN Server, hier kann ich es unter VPN -> OpenVPN -> "meinen Server" -> DNS Default Domain konfigureren. Also hier dann meineDomain.local bspw. rein.
Danach sollte es eigentlich klappen.
Beste Grüße
Somebody
Hi
das sieht nach einem DNS Problem aus, eigentlich sollte der sich direkt mit Anmeldedaten am Fileserver melden ohne das man erneut die Benutzerdaten eingeben muss, sofern der Benutzer sich natürlich mit seinen Domain-Credentials auch am Endgerät anmeldet.
Ich würde mir ggf. mal eine andere VPN Lösung ins Auge fassen, mit L2TP kannst über Boardmittel von Windows das VPN Bereitstellen und das bereits vor der Benutzeranmeldung, damit würde der Client dann auch die Benutzer-GPOs alle ziehen (Computer GPO bekommst mit DirectAcces oder Always-ON VPN hin, aber dafür benötigst du Windows Enterprise Lizenzen).
Das sieht für den Benutzer dann so aus:
Im Anmeldefenster hast ein "neues" Icon, mit der man innerhalb des Anmeldeprozesses die VPN Verbindung aufbaut:
Das Anmeldefenster sieht dann ein wenig anders aus:
Damit funktioniert dann auch die Erstanmeldung eines neuen Benutzers an dem System.
Deployen kannst es per Powershell "add-vpnconnection", die wichtigen Parameter für die Pre-Auth Anmeldung sind: "-AllUserConnection" und "UseWinLogonCredential $false", die restlichen Parameter kannst nach eigenen Bedarf anpassen.
Weiterer Vorteil: du sparst dir eine Applikation die auf "Stand" gehalten werden muss
Gruß
@clSchak
das sieht nach einem DNS Problem aus, eigentlich sollte der sich direkt mit Anmeldedaten am Fileserver melden ohne das man erneut die Benutzerdaten eingeben muss, sofern der Benutzer sich natürlich mit seinen Domain-Credentials auch am Endgerät anmeldet.
Ich würde mir ggf. mal eine andere VPN Lösung ins Auge fassen, mit L2TP kannst über Boardmittel von Windows das VPN Bereitstellen und das bereits vor der Benutzeranmeldung, damit würde der Client dann auch die Benutzer-GPOs alle ziehen (Computer GPO bekommst mit DirectAcces oder Always-ON VPN hin, aber dafür benötigst du Windows Enterprise Lizenzen).
Das sieht für den Benutzer dann so aus:
Im Anmeldefenster hast ein "neues" Icon, mit der man innerhalb des Anmeldeprozesses die VPN Verbindung aufbaut:
Das Anmeldefenster sieht dann ein wenig anders aus:
Damit funktioniert dann auch die Erstanmeldung eines neuen Benutzers an dem System.
Deployen kannst es per Powershell "add-vpnconnection", die wichtigen Parameter für die Pre-Auth Anmeldung sind: "-AllUserConnection" und "UseWinLogonCredential $false", die restlichen Parameter kannst nach eigenen Bedarf anpassen.
Weiterer Vorteil: du sparst dir eine Applikation die auf "Stand" gehalten werden muss
Gruß
@clSchak