ossiram
Goto Top

SBS2008 Benutzern VPN Verbindunge nach außen erlauben

Hallo Leute,

ich hab gerade ein kleines Problem in einer SBS 2008 Domäne.
Und zwar sollen die Benutzer eine VPN-Verbindung aufbauen können zu ihrem Steuerberater um zu diesem Daten zu übertragen.
So, jetzt kann ICH (Als Admin) dies machen aber alle anderen Benutzer nicht. Wenn ich die Benutzer in die Admin Rolle verschiebe geht dies natürlich auch, aber dann können Sie auch den RD-Server herunterfahren aber das ist ja dann auch nicht die Lösung

Ich habe gerade Spaßes halber mal bei uns im Geschäft getestet ob dies eine generelle Beschränkung in der Domäne bzw. auf einem RemoteDesktop Server ist, doch auf unserem "herkömmlichen" System ohne SBS funktioniert die VPN Verbindung ohne Probleme. D.h. es muss irgendeine Richtline in der SBS GPO sein die dies verhindert.

Kann mir dort jemand weiter helfen ohne das ich 5 Stunden Suchen muss?
Google habe ich natürlich schon befragt doch leider nichts gefunden

Auch wenn ich in der GPO eine VPN Verbindung an alle Benutzer verteilen lasse, der Admin Benutzer bekommt die VPN Verbindung allerdings die normalen Benutzer nicht.
Die Ereignisanzeige sagt nur das neue Richtlinien gefunden wurden und diese auch angewandt wurden aber die Benutzer bekommen trotzdem keine Verbindung angezeigt.

Ich hoffe mir kann jemand sagen wo ich da den Schalter richtig um legen muss

Danke scho nmal für eure Antworten!

Gruß Manuel

Content-ID: 183067

Url: https://administrator.de/forum/sbs2008-benutzern-vpn-verbindunge-nach-aussen-erlauben-183067.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Pjordorf
Pjordorf 04.04.2012 um 16:19:38 Uhr
Goto Top
Hallo,

Zitat von @ossiram:
ich hab gerade ein kleines Problem in einer SBS 2008 Domäne.
Sicher?

Und zwar sollen die Benutzer eine VPN-Verbindung aufbauen können zu ihrem Steuerberater um zu diesem Daten zu übertragen.
Lass uns doch an dieser Stelle erst mal klären welcher Benutzer (wo?, womit? wie?) ein VPN nach (wo? wie? VPN Endpunkt?) aufbauen soll. Was liegt alles zwischen diesen beiden VPN Endpunkten (Router, Firewalls usw). Welcher VPN soll es denn sein?

So, jetzt kann ICH (Als Admin) dies machen aber alle anderen Benutzer nicht.
Klar das ein Administrator mehr können (nicht nur als Benutzer Administrator) sollte und darf als ein normaler benutzer (und auch im Netzwerkumfeld).face-smile

Wenn ich die Benutzer in die Admin Rolle verschiebe geht dies natürlich auch, aber dann können Sie auch den RD-Server herunterfahren aber das ist ja dann auch nicht die
Und was hat jetzt das aufbauen einer VPN Verbindung seitens eines Benutzers damit zu tun einen RD (TS) irgendwo herunterzufahren? Und wo ist dieser RD (TS)? Auf dem SBS sicherlich nicht.

Ich habe gerade Spaßes halber mal bei uns im Geschäft getestet ob dies eine generelle Beschränkung in der Domäne bzw. auf einem RemoteDesktop Server ist, doch auf unserem "herkömmlichen" System ohne SBS funktioniert die VPN Verbindung ohne Probleme. D.h. es muss irgendeine Richtline in der SBS GPO sein die dies verhindert.
Aha. Du benutzt also nicht den SBS. Der ist dann wohl am anderen Standort. Aber deshalb ist immer noch nicht klar wer wohin eine VPN Verbindung (PPTP, IPSec, L2TP, xxx) auf VPN Server realisiert durch aufbauen will. Wer hat denn die Riuchtlinien auf den SBS unter kontrolle, du? Wer kontrolliert den anderen Standort, du?

Kann mir dort jemand weiter helfen ohne das ich 5 Stunden Suchen muss?
Warum sollen wir deine Arbeit tun? Du bist doch der Administratorface-smile

Google habe ich natürlich schon befragt doch leider nichts gefunden
Na, jetzt untertreibst du aberface-smile

Ich hoffe mir kann jemand sagen wo ich da den Schalter richtig um legen muss
Wenn wir wissen was du genau tun willst, könnten wir dir vermutlich helfen. Sonst bleiben nur noch die Hinweise auf die ausgezechneten Tutorials hier im Forum von @aqui bezüglich VPN und verschiedene Szenarien.

Gruß,
Peter
ossiram
ossiram 04.04.2012 um 17:52:31 Uhr
Goto Top
Erstmal Danke für deine Antwort.

- Ja wircklich sicher ;) Wobei ... ob es klein ist weis ich noch nicht so wircklich :D

- Also zum Kunden System (das Problem ist bei einem Kunden meiner Firma, deshalb auch die unterschiedlichen Systeme):
Server: HP ML150 G6, darauf läuft ein Microsoft Hyper-V 2008 R2, auf dem Hyper-V wird ein SBS 2008 virtualisiert (deshalb SBS 2008 Domäne), einmal Server 2008 x64 (RD-Server) und noch ein 2008er 32bit für V-APP (ein Programm des Kunden läuft nicht auf 64bit deshalb noch der zweite 32er). Die Server gehen über eine Fritzbox 3370 ins Internet. VPN IN das Netzwerk funktioniert - kein Thema. ABER! Der Kunde bzw. dessen Buchhaltung MUSS per VPN (PPTP, laufend auf einem SBS 2003) Daten zu ihrem Steuerberater übertragen. Die VPN Verbindung an sich ist auch nicht das Thema, es geht nur darum wie ich es dem SBS beibringen kann das auch normale Benutzer VPN Verbindungen nach AUßEN aufbauen dürfen.

- Mit den Rechten von Administratoren ist mir klar, also auch kein Handlungsbedarf.

- Wie oben schon gesagt, die Mitarbeiter des Kunden arbeiten auf dem RD-Server (Server 2008 x64), deshalb können Sie dann den RD Runterfahren wenn ich ihnen Admin Rechte geben würde - war nur so als "Spaß" dazu geschrieben - muss ja nicht alles immer Ernst sein ;).

- Nein, wir im Geschäft (also nicht beim Kunden) benutzen einen "pupel" normalen Server 2008 R2 als AD/DC. Ich kontrolliere den Kunden Server und unseren in der Firma, aber nicht den der Gegenstelle. Dieses Beispiel habe ich nur geschrieben weil ich zeigen wollte das es keine Domänen GENERELLE Beschränkung ist sondern es irgendwo beim SBS liegt - nur eben weis ich nicht wo (GPO, hab ich nun alle abgesucht dort habe ICH nicht gefunden).

- Weil es eine Community ist und man sich in einer Community hilft!? Evtl. hatte ja jemand schonmal das selbe Problem und könnte es mir innerhalb ein paar Sätze schreiben -> wäre einfach gewesen ;)

- Nein ich untertreibe nicht. Zu Themen wie "Wie richte ich eine VPN-Verbindung zu einem SBS Server ein" gibt es tausende. Doch leider nirgends etwas zu meinem Problem (Standardnutzer VPN-Verbindung nach außen aufbauen erlauben) gibt es nichts.

- Ich hoffe die infos reichen ;)

Gruß Manuel
Pjordorf
Pjordorf 04.04.2012 um 18:37:13 Uhr
Goto Top
Hallo,

Zitat von @ossiram:
es geht nur darum wie ich es dem SBS beibringen kann das auch normale Benutzer VPN Verbindungen nach AUßEN aufbauen dürfen.
Anders gefragt: Welcher Benutzer oder welche Gruppen dürfen denn kein ausgehendes VPN auf ihren Client aufbauen und warum nicht?

- Wie oben schon gesagt, die Mitarbeiter des Kunden arbeiten auf dem RD-Server (Server 2008 x64)
Das ist aber jetzt eine ganz andere Ausgangslage als du oben als Vergleich herangezigen hast (nur SBS). Es soll also von einer RD (TS) Sitzung auf einem Server 2008R2 mit einen angemeldeten Benutzer mit eingeschränkten Rechten (der Standard beim TS) eine PPTP VPN Verbindung ausgehend für (nur) diese Sitzung (Session) aufgebaut werden und die routing Tabelle soll dann nur für diese Sitzung oder auch für alle verbindungen dieses RD (TS) Servere geändert werden?

RD Runterfahren wenn ich ihnen Admin Rechte geben würde
Den angemeldeten RD (TS) Benutzern in ihren jeweiligen Sitzungen. Klar, das macht keiner gerne.

aber nicht den der Gegenstelle.
In deisem falle ist deine Gegenstelle ja ein SBS 2003 mit Aktiviertem VPN (PPTP) und ist auch nicht das Problem. Verstanden. face-smile

sondern es irgendwo beim SBS liegt
Meinst du nicht eher (auch) das dein Problem eher daran liegt das die aufzubauende PPTP VPN Verbindung von einer TS (RD) Sitzung aus Initiert werden soll und die TS (RD) Benutzer dazu keine Rechte haben? Das hat mit einem SBS eher weniger zu tun, und wenn, dann sind es Einstellungen in den am TS angewendeten GPOs sowie den dort greifenden Gruppen und Benutzerrechten. Wie ist denn der TS (RD) dort eingebunden und was eregeben ein rsop.msc usw. beim Anweder auf den TS(RD).

weis ich nicht wo (GPO, hab ich nun alle abgesucht dort habe ICH nicht gefunden).
Dann sind dort auch keine. Un d was greift auf den RD (TS) 2008R2?

könnte es mir innerhalb ein paar Sätze schreiben -> wäre einfach gewesen ;)
Warum deine Zeit aufbringen (verschwenden) wenn andere es für dich tun können, oder wie war da die eigentliche Frageface-smile

- Ich hoffe die infos reichen ;)
Es wurde jetzt einiges deutlicherface-smile

ich hoffe ich habe dich jetzt richtig Verstanden mit deinem VPN Problem.

Gruß,
Peter
ossiram
ossiram 04.04.2012 um 19:59:52 Uhr
Goto Top
- Die Standardbenutzer im SBS dürfen keine Verbindung herstellen, aber genau diese sollen es können - der RD ist ja in der SBS Domäne als Mitglied.

- Das Routing soll nur für den einen Benutzer aktiviert sein der die Verbindung auch aufbaut - was aber denke ich eher schwer wird!?

- Genau face-smile

- dto.

- Ich glaube nicht, da wie gesagt, in unserer Firma kann über eine RD Sitzung ohne Probleme eine VPN Verbindung aufgebaut werden. Also sollte es keine Beschränkung am RD-Server sein da ich dort auch nichts geändert habe.

- Was meinst du damit? (Un d was greift auf den RD (TS) 2008R2?) Die normalen GPOs des SBS greifen, auch meine selbst erstellten Richtlinien für Drucker usw. funktionieren.

Ich denke schon ja face-smile
Pjordorf
Pjordorf 04.04.2012 um 21:14:49 Uhr
Goto Top
Hallo,

Zitat von @ossiram:
- Was meinst du damit? (Un d was greift auf den RD (TS) 2008R2?) Die normalen GPOs des SBS greifen, auch meine selbst erstellten Richtlinien für Drucker usw. funktionieren.
Nun da du die ganze Zeit dort über GPOs am reden warst, ist doch die Frage naheliegend zu fragen "Was für GPOs, GPPs, Sicherheitsgruppe(n), Benutzerechte usw. greifen für diesen Benutzer wenn er / sie sich am RD (TerminalServer) anmeldet? Du behauptest die ganze Zeit das es an irgendwelchen GPOs liegen muss welche du aber nicht finden kannst, zumindest wenn du am SBS 2011 (beim Kunden) alle GPOs durch siehst und dort nichts findest was deine Vermutung bestätigt. Wenn es also an irgendwelche GPOs vom SBS liegt un d diese angewendet werden, so sollte doch am RD Server ersichtlich sein welche GPOs angewendet wurden. dann kannst du gezielt in den GPOs nachschauen. Oder? Und daraus folgernd ist doch dann wieder klar das wenn es keine Einstellung einer vom SBS gelieferten GPO / Sicherheitseinstellung oder Gruppen / Benutzerzuordnung ist, das dann diese Einschränkung der benutzer am RD (TS) anders erzeugt worden sein muss, oder?

Die anderen Antworten von dir konnte ich ich irgendwie nicht eindeutig zu einer Frage oder Feststellung oder Thema zuordnen. Sorry.

Du vergleichst hier deine Firma wo kein SBS werkelt mit einer Installation wo ein SBS werkelt und wunderst dich das einige GPOs anders sind? Der SBS hat schon immer eine ganze menge an vorgefertigten GPOs bei der Installtion mitgeliefert und beim Client / Benutzer angewendet. Die GPOs müssen in deiner Firma ohne SBS noch nicht einmal existieren. Also der Vergleich ist dann nicht besonders aussagefähig oder hilfreich.

Wir kennen hier weder alle GPOs auf den SBS 2011 deines Kunden noch welche GPOs du in deiner Firma (ohne SBS2011) hast noch welche anderen Einstellungen auf den besagten in einer VM laufenden Server 2008R2 als RDS/TS exisitieren noch was dort irgendwo eingestellt wurde. Du hast keinen RDS/TS am laufen und erwartest das ein Benutzer auf einem RDS/TS dort das gleiche kann wie bei dir in deiner Firma nämlich einfach mal so eine VPN Verbindung ausgehend aufzubauen? Vergleiche bitte nicht Äpfel mit Birnen. Du hast nur einen Server 2008R2 als DC in deinem Netz und keinen RDS/TS. Dein Kunde hat einen SBS 2011 als DC und zusätzlich einen Server 2008R2 als RDS/TS von wo aus (bestimmte) Benutzer ausgehende PPTP VPNs aufbauen sollen/müssen. Das ist nicht 1:1 vergleichbar.

Bei deinem Kunden:
Ein benutzer kann auf den RDS/TS in einer Sitzung keine ausgehende PPTP VPN initieren und somit auch nicht nutzen.
Ein Benutzer mit Admin Rechten (Lokaler Admin und oder Domänenadmin) kann auf den RDS/TS in einer Sitzung sehr wohl eine PPTP VPN Verbindung initieren und auch verwenden (Routing Tabelle wird angepasst. Nur für die Sitzung oder für alle Sitzungen / Benutzer?)

Was ist der Unterschied und wo ist das Eingestellt worden? Ist das jetzt deine genaue Frage?

Gruß,
Peter
ossiram
ossiram 04.04.2012 um 21:53:10 Uhr
Goto Top
Nein ... ich vergleiche nicht Äpfel mit Birnen, das Detail habe ich leider vergessen ... in unserem System läuft auch ein RDS/TS mit Server 2008 und auf eben diesem habe ich die VPN Verbindung versucht. Deshalb gehe ich davon aus das die Beschränkung am SBS liegen muss.

Ich bin jetzt gerade nochmal die lokalen Richtlinien durch gegangen dort ist ebenfalls nichts konfiguriert.
Also muss es irgendwo an den Benutzergruppen liegen - aber ich hab leider keine Ahnung mehr wo ich dort ansetzen kann face-sad
Auf gut deutsch: ich denke ich müsste "nur" die Benutzerrollen ändern bzw. dessen Berechtigungen.
Pjordorf
Pjordorf 04.04.2012 um 22:47:41 Uhr
Goto Top
Hallo,

Zitat von @ossiram:
das Detail habe ich leider vergessen ...
Nicht meine Schuldface-smile Ich nehme die Äpfel zurückface-smile

Ich bin jetzt gerade nochmal die lokalen Richtlinien durch gegangen dort ist ebenfalls nichts konfiguriert.
Auf den RDS/TS beim Kunden, oder?

Auf gut deutsch: ich denke ich müsste "nur" die Benutzerrollen ändern bzw. dessen Berechtigungen.
Zumindest diese Sicherheitsgruppen mal genauer in Augeschein nehmen und schauen wo dieser nicht VPN Aufbauender Benutzer eingetragen bzw. nicht eingetragen ist.

Gruß,
Peter
ossiram
ossiram 04.04.2012 um 23:15:06 Uhr
Goto Top
So sorry tut mir leid :D

Ja, beim Kunden - hab z.Z. noch dauer Zugriff auf die Kiste daher ;)

Hmm ... wenn ich jetzt noch wüsste wo *duck*
Pjordorf
Pjordorf 04.04.2012 um 23:23:58 Uhr
Goto Top
Hallo,

Zitat von @ossiram:
Hmm ... wenn ich jetzt noch wüsste wo
Mal ein RSOP.msc auf den TS/RDS gemacht? Und auf den SBS mal in der Verwaltungskonsole geschaut in welchen Gruppen diese Mitarbeiter drin ist? Welche Gruppen existieren usw.?

Gruß,
Peter
ossiram
ossiram 04.04.2012 um 23:43:49 Uhr
Goto Top
Okay, RSOP.msc habe ich mal angeschaut (feines Tool :D - kannte ich bisher noch nicht) :D Ist aber nichts dabei das die VPN Verbindungen beschränken könnte.

Standardbenutzer:

All Users
Benutzer des Windows SBS-Remote-Webarbeitsplatzes
Domänen-Benutzer
Konten für die Windows SBS-Ordnerumleitung
Windows SBS-Faxbenutzer
Windows SBS-Linkbenutzer
Windows SBS-SharePoint-Mitglieder
Windows SBS-VPN-Benutzer

Administrator:
All Users
Benutzer des Windows SBS-Remote-Webarbeitsplatzes
Domänen-Admins
Domänen-Benutzer
Konten für die Windows SBS-Ordnerumleitung
Origanisations-Admins
Schema-Admins
Windows SBS-Administrators
Windows SBS-Faxbenutzer
Windows SBS-Linkbenutzer
Windows SBS-SharePoint-Besitzer
Windows SBS-SharePoint-Mitglieder
Windows SBS-Verwaltungstoolsgruppe
Windows SBS-VPN-Benutzer

Die VPN Benutzer Gruppe ist nur dazu da das auf den SBS VPN zugegriffen werden darf. Ansonsten hmpf ... Domänen-Admin, Schema Admins -> noway und SBS-Admin -> ebenfalls