SBS2008 Benutzern VPN Verbindunge nach außen erlauben
Hallo Leute,
ich hab gerade ein kleines Problem in einer SBS 2008 Domäne.
Und zwar sollen die Benutzer eine VPN-Verbindung aufbauen können zu ihrem Steuerberater um zu diesem Daten zu übertragen.
So, jetzt kann ICH (Als Admin) dies machen aber alle anderen Benutzer nicht. Wenn ich die Benutzer in die Admin Rolle verschiebe geht dies natürlich auch, aber dann können Sie auch den RD-Server herunterfahren aber das ist ja dann auch nicht die Lösung
Ich habe gerade Spaßes halber mal bei uns im Geschäft getestet ob dies eine generelle Beschränkung in der Domäne bzw. auf einem RemoteDesktop Server ist, doch auf unserem "herkömmlichen" System ohne SBS funktioniert die VPN Verbindung ohne Probleme. D.h. es muss irgendeine Richtline in der SBS GPO sein die dies verhindert.
Kann mir dort jemand weiter helfen ohne das ich 5 Stunden Suchen muss?
Google habe ich natürlich schon befragt doch leider nichts gefunden
Auch wenn ich in der GPO eine VPN Verbindung an alle Benutzer verteilen lasse, der Admin Benutzer bekommt die VPN Verbindung allerdings die normalen Benutzer nicht.
Die Ereignisanzeige sagt nur das neue Richtlinien gefunden wurden und diese auch angewandt wurden aber die Benutzer bekommen trotzdem keine Verbindung angezeigt.
Ich hoffe mir kann jemand sagen wo ich da den Schalter richtig um legen muss
Danke scho nmal für eure Antworten!
Gruß Manuel
ich hab gerade ein kleines Problem in einer SBS 2008 Domäne.
Und zwar sollen die Benutzer eine VPN-Verbindung aufbauen können zu ihrem Steuerberater um zu diesem Daten zu übertragen.
So, jetzt kann ICH (Als Admin) dies machen aber alle anderen Benutzer nicht. Wenn ich die Benutzer in die Admin Rolle verschiebe geht dies natürlich auch, aber dann können Sie auch den RD-Server herunterfahren aber das ist ja dann auch nicht die Lösung
Ich habe gerade Spaßes halber mal bei uns im Geschäft getestet ob dies eine generelle Beschränkung in der Domäne bzw. auf einem RemoteDesktop Server ist, doch auf unserem "herkömmlichen" System ohne SBS funktioniert die VPN Verbindung ohne Probleme. D.h. es muss irgendeine Richtline in der SBS GPO sein die dies verhindert.
Kann mir dort jemand weiter helfen ohne das ich 5 Stunden Suchen muss?
Google habe ich natürlich schon befragt doch leider nichts gefunden
Auch wenn ich in der GPO eine VPN Verbindung an alle Benutzer verteilen lasse, der Admin Benutzer bekommt die VPN Verbindung allerdings die normalen Benutzer nicht.
Die Ereignisanzeige sagt nur das neue Richtlinien gefunden wurden und diese auch angewandt wurden aber die Benutzer bekommen trotzdem keine Verbindung angezeigt.
Ich hoffe mir kann jemand sagen wo ich da den Schalter richtig um legen muss
Danke scho nmal für eure Antworten!
Gruß Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183067
Url: https://administrator.de/forum/sbs2008-benutzern-vpn-verbindunge-nach-aussen-erlauben-183067.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Sicher?
Gruß,
Peter
Sicher?
Und zwar sollen die Benutzer eine VPN-Verbindung aufbauen können zu ihrem Steuerberater um zu diesem Daten zu übertragen.
Lass uns doch an dieser Stelle erst mal klären welcher Benutzer (wo?, womit? wie?) ein VPN nach (wo? wie? VPN Endpunkt?) aufbauen soll. Was liegt alles zwischen diesen beiden VPN Endpunkten (Router, Firewalls usw). Welcher VPN soll es denn sein?So, jetzt kann ICH (Als Admin) dies machen aber alle anderen Benutzer nicht.
Klar das ein Administrator mehr können (nicht nur als Benutzer Administrator) sollte und darf als ein normaler benutzer (und auch im Netzwerkumfeld).Wenn ich die Benutzer in die Admin Rolle verschiebe geht dies natürlich auch, aber dann können Sie auch den RD-Server herunterfahren aber das ist ja dann auch nicht die
Und was hat jetzt das aufbauen einer VPN Verbindung seitens eines Benutzers damit zu tun einen RD (TS) irgendwo herunterzufahren? Und wo ist dieser RD (TS)? Auf dem SBS sicherlich nicht.Ich habe gerade Spaßes halber mal bei uns im Geschäft getestet ob dies eine generelle Beschränkung in der Domäne bzw. auf einem RemoteDesktop Server ist, doch auf unserem "herkömmlichen" System ohne SBS funktioniert die VPN Verbindung ohne Probleme. D.h. es muss irgendeine Richtline in der SBS GPO sein die dies verhindert.
Aha. Du benutzt also nicht den SBS. Der ist dann wohl am anderen Standort. Aber deshalb ist immer noch nicht klar wer wohin eine VPN Verbindung (PPTP, IPSec, L2TP, xxx) auf VPN Server realisiert durch aufbauen will. Wer hat denn die Riuchtlinien auf den SBS unter kontrolle, du? Wer kontrolliert den anderen Standort, du?Kann mir dort jemand weiter helfen ohne das ich 5 Stunden Suchen muss?
Warum sollen wir deine Arbeit tun? Du bist doch der AdministratorGoogle habe ich natürlich schon befragt doch leider nichts gefunden
Na, jetzt untertreibst du aberIch hoffe mir kann jemand sagen wo ich da den Schalter richtig um legen muss
Wenn wir wissen was du genau tun willst, könnten wir dir vermutlich helfen. Sonst bleiben nur noch die Hinweise auf die ausgezechneten Tutorials hier im Forum von @aqui bezüglich VPN und verschiedene Szenarien.Gruß,
Peter
Hallo,
ich hoffe ich habe dich jetzt richtig Verstanden mit deinem VPN Problem.
Gruß,
Peter
Zitat von @ossiram:
es geht nur darum wie ich es dem SBS beibringen kann das auch normale Benutzer VPN Verbindungen nach AUßEN aufbauen dürfen.
Anders gefragt: Welcher Benutzer oder welche Gruppen dürfen denn kein ausgehendes VPN auf ihren Client aufbauen und warum nicht?es geht nur darum wie ich es dem SBS beibringen kann das auch normale Benutzer VPN Verbindungen nach AUßEN aufbauen dürfen.
- Wie oben schon gesagt, die Mitarbeiter des Kunden arbeiten auf dem RD-Server (Server 2008 x64)
Das ist aber jetzt eine ganz andere Ausgangslage als du oben als Vergleich herangezigen hast (nur SBS). Es soll also von einer RD (TS) Sitzung auf einem Server 2008R2 mit einen angemeldeten Benutzer mit eingeschränkten Rechten (der Standard beim TS) eine PPTP VPN Verbindung ausgehend für (nur) diese Sitzung (Session) aufgebaut werden und die routing Tabelle soll dann nur für diese Sitzung oder auch für alle verbindungen dieses RD (TS) Servere geändert werden?RD Runterfahren wenn ich ihnen Admin Rechte geben würde
Den angemeldeten RD (TS) Benutzern in ihren jeweiligen Sitzungen. Klar, das macht keiner gerne.aber nicht den der Gegenstelle.
In deisem falle ist deine Gegenstelle ja ein SBS 2003 mit Aktiviertem VPN (PPTP) und ist auch nicht das Problem. Verstanden. sondern es irgendwo beim SBS liegt
Meinst du nicht eher (auch) das dein Problem eher daran liegt das die aufzubauende PPTP VPN Verbindung von einer TS (RD) Sitzung aus Initiert werden soll und die TS (RD) Benutzer dazu keine Rechte haben? Das hat mit einem SBS eher weniger zu tun, und wenn, dann sind es Einstellungen in den am TS angewendeten GPOs sowie den dort greifenden Gruppen und Benutzerrechten. Wie ist denn der TS (RD) dort eingebunden und was eregeben ein rsop.msc usw. beim Anweder auf den TS(RD).weis ich nicht wo (GPO, hab ich nun alle abgesucht dort habe ICH nicht gefunden).
Dann sind dort auch keine. Un d was greift auf den RD (TS) 2008R2?könnte es mir innerhalb ein paar Sätze schreiben -> wäre einfach gewesen ;)
Warum deine Zeit aufbringen (verschwenden) wenn andere es für dich tun können, oder wie war da die eigentliche Frage- Ich hoffe die infos reichen ;)
Es wurde jetzt einiges deutlicherich hoffe ich habe dich jetzt richtig Verstanden mit deinem VPN Problem.
Gruß,
Peter
Hallo,
Die anderen Antworten von dir konnte ich ich irgendwie nicht eindeutig zu einer Frage oder Feststellung oder Thema zuordnen. Sorry.
Du vergleichst hier deine Firma wo kein SBS werkelt mit einer Installation wo ein SBS werkelt und wunderst dich das einige GPOs anders sind? Der SBS hat schon immer eine ganze menge an vorgefertigten GPOs bei der Installtion mitgeliefert und beim Client / Benutzer angewendet. Die GPOs müssen in deiner Firma ohne SBS noch nicht einmal existieren. Also der Vergleich ist dann nicht besonders aussagefähig oder hilfreich.
Wir kennen hier weder alle GPOs auf den SBS 2011 deines Kunden noch welche GPOs du in deiner Firma (ohne SBS2011) hast noch welche anderen Einstellungen auf den besagten in einer VM laufenden Server 2008R2 als RDS/TS exisitieren noch was dort irgendwo eingestellt wurde. Du hast keinen RDS/TS am laufen und erwartest das ein Benutzer auf einem RDS/TS dort das gleiche kann wie bei dir in deiner Firma nämlich einfach mal so eine VPN Verbindung ausgehend aufzubauen? Vergleiche bitte nicht Äpfel mit Birnen. Du hast nur einen Server 2008R2 als DC in deinem Netz und keinen RDS/TS. Dein Kunde hat einen SBS 2011 als DC und zusätzlich einen Server 2008R2 als RDS/TS von wo aus (bestimmte) Benutzer ausgehende PPTP VPNs aufbauen sollen/müssen. Das ist nicht 1:1 vergleichbar.
Bei deinem Kunden:
Ein benutzer kann auf den RDS/TS in einer Sitzung keine ausgehende PPTP VPN initieren und somit auch nicht nutzen.
Ein Benutzer mit Admin Rechten (Lokaler Admin und oder Domänenadmin) kann auf den RDS/TS in einer Sitzung sehr wohl eine PPTP VPN Verbindung initieren und auch verwenden (Routing Tabelle wird angepasst. Nur für die Sitzung oder für alle Sitzungen / Benutzer?)
Was ist der Unterschied und wo ist das Eingestellt worden? Ist das jetzt deine genaue Frage?
Gruß,
Peter
Zitat von @ossiram:
- Was meinst du damit? (Un d was greift auf den RD (TS) 2008R2?) Die normalen GPOs des SBS greifen, auch meine selbst erstellten Richtlinien für Drucker usw. funktionieren.
Nun da du die ganze Zeit dort über GPOs am reden warst, ist doch die Frage naheliegend zu fragen "Was für GPOs, GPPs, Sicherheitsgruppe(n), Benutzerechte usw. greifen für diesen Benutzer wenn er / sie sich am RD (TerminalServer) anmeldet? Du behauptest die ganze Zeit das es an irgendwelchen GPOs liegen muss welche du aber nicht finden kannst, zumindest wenn du am SBS 2011 (beim Kunden) alle GPOs durch siehst und dort nichts findest was deine Vermutung bestätigt. Wenn es also an irgendwelche GPOs vom SBS liegt un d diese angewendet werden, so sollte doch am RD Server ersichtlich sein welche GPOs angewendet wurden. dann kannst du gezielt in den GPOs nachschauen. Oder? Und daraus folgernd ist doch dann wieder klar das wenn es keine Einstellung einer vom SBS gelieferten GPO / Sicherheitseinstellung oder Gruppen / Benutzerzuordnung ist, das dann diese Einschränkung der benutzer am RD (TS) anders erzeugt worden sein muss, oder?- Was meinst du damit? (Un d was greift auf den RD (TS) 2008R2?) Die normalen GPOs des SBS greifen, auch meine selbst erstellten Richtlinien für Drucker usw. funktionieren.
Die anderen Antworten von dir konnte ich ich irgendwie nicht eindeutig zu einer Frage oder Feststellung oder Thema zuordnen. Sorry.
Du vergleichst hier deine Firma wo kein SBS werkelt mit einer Installation wo ein SBS werkelt und wunderst dich das einige GPOs anders sind? Der SBS hat schon immer eine ganze menge an vorgefertigten GPOs bei der Installtion mitgeliefert und beim Client / Benutzer angewendet. Die GPOs müssen in deiner Firma ohne SBS noch nicht einmal existieren. Also der Vergleich ist dann nicht besonders aussagefähig oder hilfreich.
Wir kennen hier weder alle GPOs auf den SBS 2011 deines Kunden noch welche GPOs du in deiner Firma (ohne SBS2011) hast noch welche anderen Einstellungen auf den besagten in einer VM laufenden Server 2008R2 als RDS/TS exisitieren noch was dort irgendwo eingestellt wurde. Du hast keinen RDS/TS am laufen und erwartest das ein Benutzer auf einem RDS/TS dort das gleiche kann wie bei dir in deiner Firma nämlich einfach mal so eine VPN Verbindung ausgehend aufzubauen? Vergleiche bitte nicht Äpfel mit Birnen. Du hast nur einen Server 2008R2 als DC in deinem Netz und keinen RDS/TS. Dein Kunde hat einen SBS 2011 als DC und zusätzlich einen Server 2008R2 als RDS/TS von wo aus (bestimmte) Benutzer ausgehende PPTP VPNs aufbauen sollen/müssen. Das ist nicht 1:1 vergleichbar.
Bei deinem Kunden:
Ein benutzer kann auf den RDS/TS in einer Sitzung keine ausgehende PPTP VPN initieren und somit auch nicht nutzen.
Ein Benutzer mit Admin Rechten (Lokaler Admin und oder Domänenadmin) kann auf den RDS/TS in einer Sitzung sehr wohl eine PPTP VPN Verbindung initieren und auch verwenden (Routing Tabelle wird angepasst. Nur für die Sitzung oder für alle Sitzungen / Benutzer?)
Was ist der Unterschied und wo ist das Eingestellt worden? Ist das jetzt deine genaue Frage?
Gruß,
Peter
Hallo,
Nicht meine Schuld Ich nehme die Äpfel zurück
Gruß,
Peter
Nicht meine Schuld Ich nehme die Äpfel zurück
Ich bin jetzt gerade nochmal die lokalen Richtlinien durch gegangen dort ist ebenfalls nichts konfiguriert.
Auf den RDS/TS beim Kunden, oder?Auf gut deutsch: ich denke ich müsste "nur" die Benutzerrollen ändern bzw. dessen Berechtigungen.
Zumindest diese Sicherheitsgruppen mal genauer in Augeschein nehmen und schauen wo dieser nicht VPN Aufbauender Benutzer eingetragen bzw. nicht eingetragen ist.Gruß,
Peter
Hallo,
Mal ein RSOP.msc auf den TS/RDS gemacht? Und auf den SBS mal in der Verwaltungskonsole geschaut in welchen Gruppen diese Mitarbeiter drin ist? Welche Gruppen existieren usw.?
Gruß,
Peter
Mal ein RSOP.msc auf den TS/RDS gemacht? Und auf den SBS mal in der Verwaltungskonsole geschaut in welchen Gruppen diese Mitarbeiter drin ist? Welche Gruppen existieren usw.?
Gruß,
Peter