4
Probleme mit Domänenanmeldung via VPN
Hallo,
ich habe bei einem neu eingerichteten Laptop folgendes Problem:
Wenn man sich lokal an der Domäne anmeldet funktioniert alles wie es soll.
Netzlaufwerke werden verbunden, etc.
Wenn der Laptop aber außer Haus ist und sich der Nutzer anmeldet, dann kann er die Domäne ja erstmal nicht erreichen und die Netzlaufwerke haben ein rotes X.
Danach folgt die manuelle Verbindung via OpenVPN.
Der Netzlaufwerkezugriff funktioniert danach trotzdem nicht. Fehlermedlung "Konnte sich nicht an der Domäne anmelden".
Erst wenn ich über den Explorer den Fileserver ansteuere, kommt das Fenster mit der Username und Passwortabfrage für den Zugriff auf den Fileserver.
Danach läuft alles scheinbar rund.
Ich dachte auch schon, dass es daran liegt, dass der Laptop den Namen des Fileservers auflösen kann und habe deshalb dessen Name und IP in der Hosts hinterlegt.
Meine Fragen:
1. Warum kommt beim klick auf die Netzwerkordner nicht die Passwortabfrage
2. Warum muss ich überhaupt Username und Passwort eingeben, wenn der Login beim Laptop schon mit den Domänenanmeldedaten vollzogen wurde
3. Kann ich das irgendwie automatisieren, dass die Domänenanmeldung nach der Verbindung via VPN nochmals (mit den schon eingegebenen Daten) erfolgt.
Danke und Gruß
ich habe bei einem neu eingerichteten Laptop folgendes Problem:
Wenn man sich lokal an der Domäne anmeldet funktioniert alles wie es soll.
Netzlaufwerke werden verbunden, etc.
Wenn der Laptop aber außer Haus ist und sich der Nutzer anmeldet, dann kann er die Domäne ja erstmal nicht erreichen und die Netzlaufwerke haben ein rotes X.
Danach folgt die manuelle Verbindung via OpenVPN.
Der Netzlaufwerkezugriff funktioniert danach trotzdem nicht. Fehlermedlung "Konnte sich nicht an der Domäne anmelden".
Erst wenn ich über den Explorer den Fileserver ansteuere, kommt das Fenster mit der Username und Passwortabfrage für den Zugriff auf den Fileserver.
Danach läuft alles scheinbar rund.
Ich dachte auch schon, dass es daran liegt, dass der Laptop den Namen des Fileservers auflösen kann und habe deshalb dessen Name und IP in der Hosts hinterlegt.
Meine Fragen:
1. Warum kommt beim klick auf die Netzwerkordner nicht die Passwortabfrage
2. Warum muss ich überhaupt Username und Passwort eingeben, wenn der Login beim Laptop schon mit den Domänenanmeldedaten vollzogen wurde
3. Kann ich das irgendwie automatisieren, dass die Domänenanmeldung nach der Verbindung via VPN nochmals (mit den schon eingegebenen Daten) erfolgt.
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665865
Url: https://administrator.de/contentid/665865
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo Ghent,
ich gehe davon aus das der OpenVPN Client einfach die entsprechenden Ports für das Active Directory nicht freigegeben hat.
Deshalb ist auch keine Authentifizierung am AD Controller möglich.
Hier mal eine Liste an Ports welche für das Active Directory benötigt werden:
https://isc.sans.edu/diary/Cyber+Security+Awareness+Month+-+Day+27+-+Act ...
Das der anfängliche Zugriff nicht möglich ist könnte daran liegen das du den OpenVPN Clients keinen Domain Suffix mitgibst.
Dies kannst du in der Regel auf deinem OpenVPN Server konfigurieren.
Ich verwende beispielsweise OpnSense als OpenVPN Server, hier kann ich es unter VPN -> OpenVPN -> "meinen Server" -> DNS Default Domain konfigureren. Also hier dann meineDomain.local bspw. rein.
Danach sollte es eigentlich klappen.
Beste Grüße
Somebody
ich gehe davon aus das der OpenVPN Client einfach die entsprechenden Ports für das Active Directory nicht freigegeben hat.
Deshalb ist auch keine Authentifizierung am AD Controller möglich.
Hier mal eine Liste an Ports welche für das Active Directory benötigt werden:
https://isc.sans.edu/diary/Cyber+Security+Awareness+Month+-+Day+27+-+Act ...
Das der anfängliche Zugriff nicht möglich ist könnte daran liegen das du den OpenVPN Clients keinen Domain Suffix mitgibst.
Dies kannst du in der Regel auf deinem OpenVPN Server konfigurieren.
Ich verwende beispielsweise OpnSense als OpenVPN Server, hier kann ich es unter VPN -> OpenVPN -> "meinen Server" -> DNS Default Domain konfigureren. Also hier dann meineDomain.local bspw. rein.
Danach sollte es eigentlich klappen.
Beste Grüße
Somebody
Hi
das sieht nach einem DNS Problem aus, eigentlich sollte der sich direkt mit Anmeldedaten am Fileserver melden ohne das man erneut die Benutzerdaten eingeben muss, sofern der Benutzer sich natürlich mit seinen Domain-Credentials auch am Endgerät anmeldet.
Ich würde mir ggf. mal eine andere VPN Lösung ins Auge fassen, mit L2TP kannst über Boardmittel von Windows das VPN Bereitstellen und das bereits vor der Benutzeranmeldung, damit würde der Client dann auch die Benutzer-GPOs alle ziehen (Computer GPO bekommst mit DirectAcces oder Always-ON VPN hin, aber dafür benötigst du Windows Enterprise Lizenzen).
Das sieht für den Benutzer dann so aus:
Im Anmeldefenster hast ein "neues" Icon, mit der man innerhalb des Anmeldeprozesses die VPN Verbindung aufbaut:
Das Anmeldefenster sieht dann ein wenig anders aus:
Damit funktioniert dann auch die Erstanmeldung eines neuen Benutzers an dem System.
Deployen kannst es per Powershell "add-vpnconnection", die wichtigen Parameter für die Pre-Auth Anmeldung sind: "-AllUserConnection" und "UseWinLogonCredential $false", die restlichen Parameter kannst nach eigenen Bedarf anpassen.
Weiterer Vorteil: du sparst dir eine Applikation die auf "Stand" gehalten werden muss
Gruß
@clSchak
das sieht nach einem DNS Problem aus, eigentlich sollte der sich direkt mit Anmeldedaten am Fileserver melden ohne das man erneut die Benutzerdaten eingeben muss, sofern der Benutzer sich natürlich mit seinen Domain-Credentials auch am Endgerät anmeldet.
Ich würde mir ggf. mal eine andere VPN Lösung ins Auge fassen, mit L2TP kannst über Boardmittel von Windows das VPN Bereitstellen und das bereits vor der Benutzeranmeldung, damit würde der Client dann auch die Benutzer-GPOs alle ziehen (Computer GPO bekommst mit DirectAcces oder Always-ON VPN hin, aber dafür benötigst du Windows Enterprise Lizenzen).
Das sieht für den Benutzer dann so aus:
Im Anmeldefenster hast ein "neues" Icon, mit der man innerhalb des Anmeldeprozesses die VPN Verbindung aufbaut:
Das Anmeldefenster sieht dann ein wenig anders aus:
Damit funktioniert dann auch die Erstanmeldung eines neuen Benutzers an dem System.
Deployen kannst es per Powershell "add-vpnconnection", die wichtigen Parameter für die Pre-Auth Anmeldung sind: "-AllUserConnection" und "UseWinLogonCredential $false", die restlichen Parameter kannst nach eigenen Bedarf anpassen.
Weiterer Vorteil: du sparst dir eine Applikation die auf "Stand" gehalten werden muss
Gruß
@clSchak
Ich wollte nur kurz mich melden, damit ihr nicht meint ich würde nicht antworten.
Aktuell habe ich keinen Zugriff auf den Laptop, daher kann ich es nicht testen.
Ich vermute jedoch auch, dass er den DNS nicht findet.
Bei unserem OpenVPN Server kann ich diesen dort nicht hinterlegen das wäre nur bei L2TP möglich und das hatte ich aus irgendwelchen anderen Gründen (die mir partout nicht mehr einfallen wollen) wieder verworfen.
Ich kann aber beim Client Skript DHCP-OPTION DNS und DOMAIN hinterlegen.
Das werde ich als nächstes versuchen.
Danke soweit erst einmal.
Ich melde mich wieder.
Aktuell habe ich keinen Zugriff auf den Laptop, daher kann ich es nicht testen.
Ich vermute jedoch auch, dass er den DNS nicht findet.
Bei unserem OpenVPN Server kann ich diesen dort nicht hinterlegen das wäre nur bei L2TP möglich und das hatte ich aus irgendwelchen anderen Gründen (die mir partout nicht mehr einfallen wollen) wieder verworfen.
Ich kann aber beim Client Skript DHCP-OPTION DNS und DOMAIN hinterlegen.
Das werde ich als nächstes versuchen.
Danke soweit erst einmal.
Ich melde mich wieder.
So, gerade Rückmeldung erhalten.
Die Variante mit DNS und DOMAIN Eintrag im Client Skript funktioniert offensichtlich.
Von daher danke für den Denkanstoß!
Die Variante mit DNS und DOMAIN Eintrag im Client Skript funktioniert offensichtlich.
Von daher danke für den Denkanstoß!
