ghent74
Goto Top

Probleme mit Domänenanmeldung via VPN

Hallo,

ich habe bei einem neu eingerichteten Laptop folgendes Problem:
Wenn man sich lokal an der Domäne anmeldet funktioniert alles wie es soll.
Netzlaufwerke werden verbunden, etc.

Wenn der Laptop aber außer Haus ist und sich der Nutzer anmeldet, dann kann er die Domäne ja erstmal nicht erreichen und die Netzlaufwerke haben ein rotes X.
Danach folgt die manuelle Verbindung via OpenVPN.
Der Netzlaufwerkezugriff funktioniert danach trotzdem nicht. Fehlermedlung "Konnte sich nicht an der Domäne anmelden".
Erst wenn ich über den Explorer den Fileserver ansteuere, kommt das Fenster mit der Username und Passwortabfrage für den Zugriff auf den Fileserver.
Danach läuft alles scheinbar rund.
Ich dachte auch schon, dass es daran liegt, dass der Laptop den Namen des Fileservers auflösen kann und habe deshalb dessen Name und IP in der Hosts hinterlegt.

Meine Fragen:
1. Warum kommt beim klick auf die Netzwerkordner nicht die Passwortabfrage
2. Warum muss ich überhaupt Username und Passwort eingeben, wenn der Login beim Laptop schon mit den Domänenanmeldedaten vollzogen wurde
3. Kann ich das irgendwie automatisieren, dass die Domänenanmeldung nach der Verbindung via VPN nochmals (mit den schon eingegebenen Daten) erfolgt.

Danke und Gruß

Content-ID: 665865

Url: https://administrator.de/forum/probleme-mit-domaenenanmeldung-via-vpn-665865.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

SomebodyToLove
Lösung SomebodyToLove 19.04.2021 um 10:46:20 Uhr
Goto Top
Hallo Ghent,

ich gehe davon aus das der OpenVPN Client einfach die entsprechenden Ports für das Active Directory nicht freigegeben hat.
Deshalb ist auch keine Authentifizierung am AD Controller möglich.
Hier mal eine Liste an Ports welche für das Active Directory benötigt werden:
https://isc.sans.edu/diary/Cyber+Security+Awareness+Month+-+Day+27+-+Act ...

Das der anfängliche Zugriff nicht möglich ist könnte daran liegen das du den OpenVPN Clients keinen Domain Suffix mitgibst.
Dies kannst du in der Regel auf deinem OpenVPN Server konfigurieren.

Ich verwende beispielsweise OpnSense als OpenVPN Server, hier kann ich es unter VPN -> OpenVPN -> "meinen Server" -> DNS Default Domain konfigureren. Also hier dann meineDomain.local bspw. rein.

Danach sollte es eigentlich klappen.

Beste Grüße
Somebody
clSchak
Lösung clSchak 19.04.2021 aktualisiert um 11:00:04 Uhr
Goto Top
Hi

das sieht nach einem DNS Problem aus, eigentlich sollte der sich direkt mit Anmeldedaten am Fileserver melden ohne das man erneut die Benutzerdaten eingeben muss, sofern der Benutzer sich natürlich mit seinen Domain-Credentials auch am Endgerät anmeldet.

Ich würde mir ggf. mal eine andere VPN Lösung ins Auge fassen, mit L2TP kannst über Boardmittel von Windows das VPN Bereitstellen und das bereits vor der Benutzeranmeldung, damit würde der Client dann auch die Benutzer-GPOs alle ziehen (Computer GPO bekommst mit DirectAcces oder Always-ON VPN hin, aber dafür benötigst du Windows Enterprise Lizenzen).

Das sieht für den Benutzer dann so aus:

Im Anmeldefenster hast ein "neues" Icon, mit der man innerhalb des Anmeldeprozesses die VPN Verbindung aufbaut:
2021-04-19 10_51_00-inbetriebnahme homeoffice system.docx - word

Das Anmeldefenster sieht dann ein wenig anders aus:
2021-04-19 10_51_21-inbetriebnahme homeoffice system.docx - word

Damit funktioniert dann auch die Erstanmeldung eines neuen Benutzers an dem System.

Deployen kannst es per Powershell "add-vpnconnection", die wichtigen Parameter für die Pre-Auth Anmeldung sind: "-AllUserConnection" und "UseWinLogonCredential $false", die restlichen Parameter kannst nach eigenen Bedarf anpassen.

Weiterer Vorteil: du sparst dir eine Applikation die auf "Stand" gehalten werden muss face-smile

Gruß
@clSchak
Ghent74
Ghent74 20.04.2021 aktualisiert um 08:42:46 Uhr
Goto Top
Ich wollte nur kurz mich melden, damit ihr nicht meint ich würde nicht antworten.
Aktuell habe ich keinen Zugriff auf den Laptop, daher kann ich es nicht testen.

Ich vermute jedoch auch, dass er den DNS nicht findet.
Bei unserem OpenVPN Server kann ich diesen dort nicht hinterlegen das wäre nur bei L2TP möglich und das hatte ich aus irgendwelchen anderen Gründen (die mir partout nicht mehr einfallen wollen) wieder verworfen.

Ich kann aber beim Client Skript DHCP-OPTION DNS und DOMAIN hinterlegen.
Das werde ich als nächstes versuchen.

Danke soweit erst einmal.
Ich melde mich wieder.
Ghent74
Ghent74 20.04.2021 um 15:56:19 Uhr
Goto Top
So, gerade Rückmeldung erhalten.
Die Variante mit DNS und DOMAIN Eintrag im Client Skript funktioniert offensichtlich.
Von daher danke für den Denkanstoß!