Verbindung zur Domäne nach Anmeldung und mit externen VPN-Client instabil
Guten Morgen Warriors of the Net,
da die ersten Ergebnisseiten verschiedener Nutzungen der Suchfunktion nicht zufriedenstellen waren oder ich sie mal wieder nur falsch benutzt habe, stelle ich eine neue Frage.
Szenario (Testumgebung):
Ein Außendienstmitarbeiter (Verbindung via UMTS/LTE), der selten bis ab und zu auch intern mit seinem Notebook arbeitet (LAN), hat ein servergespeichertes Domänenprofil mit Zugriff auf DFS-Namespace mit ein paar Freigaben. Innerhalb des LANs gibt es absolut keine Probleme, was das Anmelden und Arbeiten in der Domäne angeht. Im Außendienst ist der Weg allerdings anders:
1. Notebook fährt hoch (keine Verbindung)
2. Nutzer meldet sich mit seinem Domänenprofil an (Anmeldung dauert lange; ist klar, da keine Verbindung zum AD da ist)
3. Nutzer wird mit der lokalen Kopie seines Profils angemeldet (kein temporäres Profil; immer noch keine Verbindung)
4. SIM-Karte steckt bereits in der Hardware; über Windows wird darüber eine mobile Breitbandverbindung nach der PIN-Eingabe hergestellt
5. Nun wird manuell ein externer VPN-Client gestartet, der eine Verbindung über das eben verbundene Internet, zur Domäne herstellt
6. Client ist verbunden, alle DC sind anpingbar
Der IP-Adressbereich im LAN ist ein anderer als der IP-Adressbereich, von den der Client eine Adresse erhält wenn er sich mit VPN verbindet. Der Client bekommt diese Adresse vom VPN-Client und soll sich von dem Adressbereich des LAN unterscheiden.
Problem:
Diese Verbindung zur Domäne ist nicht stabil. Die verbundenen Freigaben brechen nach kurzer Zeit und nach Abmelden-Anmelden weg. Ein gpupdate /force funktioniert nicht, obwohl die DC erreichbar sind und ganz sicher auf das SYSVOL-Verzeichnis zugegriffen werden kann. Ein Wireshark-Mitschnitt der Verbindung hat nichts nennenswertes ergeben. Der Client bekommt von seinem Logon-Server oder überhaupt einem DC einfach keine Rückmeldungen.
Vielleicht fehlt mir auch nur das Verständnis zu dem Verhalten einen Domänenprofils, das sich vor einer Verbindung zum AD anmeldet.
Geht es überhaupt?
Ist der oben beschriebene Weg der Verbindung richtig oder ist er optimierbar?
Fehlt bei dieser Art der Verbindung irgendwas? Gibt es neben dem Laden der Profildateien und Benutzergruppenrichtlinien noch andere Sachen, die während/kurz nach der Anmeldung stattfinden?
Macht es Sinn für die externe Arbeit ein lokales Profil anzulegen, welches mittels VPN Domänendienste etc. über die Domänenprofil-Credentials nutzen kann?
Ich denke das hier ist nur eine Grundsatzfrage, bei dem ich nur irgendwas nicht verstehe, da noch nicht viel Erfahrung. Sicher gibt es viele, die extern über das Internet mit der Domäne mittels VPN arbeiten, aber ich weiß nicht wie ich das umsetzen soll.
Vielleicht ist auch nur der Knackpunkt, dass sich der IP-Adressbereich unterscheiden (sollen)? Kann ich mir aber nicht verstellen, da Routing und Co. zu funktionieren scheinen. Irgendwas übersehe ich noch.
Danke m Voraus für die, die ihre Erfahrungen, wie sie das bei sich gelöst haben mit mir teilen.
da die ersten Ergebnisseiten verschiedener Nutzungen der Suchfunktion nicht zufriedenstellen waren oder ich sie mal wieder nur falsch benutzt habe, stelle ich eine neue Frage.
Szenario (Testumgebung):
Ein Außendienstmitarbeiter (Verbindung via UMTS/LTE), der selten bis ab und zu auch intern mit seinem Notebook arbeitet (LAN), hat ein servergespeichertes Domänenprofil mit Zugriff auf DFS-Namespace mit ein paar Freigaben. Innerhalb des LANs gibt es absolut keine Probleme, was das Anmelden und Arbeiten in der Domäne angeht. Im Außendienst ist der Weg allerdings anders:
1. Notebook fährt hoch (keine Verbindung)
2. Nutzer meldet sich mit seinem Domänenprofil an (Anmeldung dauert lange; ist klar, da keine Verbindung zum AD da ist)
3. Nutzer wird mit der lokalen Kopie seines Profils angemeldet (kein temporäres Profil; immer noch keine Verbindung)
4. SIM-Karte steckt bereits in der Hardware; über Windows wird darüber eine mobile Breitbandverbindung nach der PIN-Eingabe hergestellt
5. Nun wird manuell ein externer VPN-Client gestartet, der eine Verbindung über das eben verbundene Internet, zur Domäne herstellt
6. Client ist verbunden, alle DC sind anpingbar
Der IP-Adressbereich im LAN ist ein anderer als der IP-Adressbereich, von den der Client eine Adresse erhält wenn er sich mit VPN verbindet. Der Client bekommt diese Adresse vom VPN-Client und soll sich von dem Adressbereich des LAN unterscheiden.
Problem:
Diese Verbindung zur Domäne ist nicht stabil. Die verbundenen Freigaben brechen nach kurzer Zeit und nach Abmelden-Anmelden weg. Ein gpupdate /force funktioniert nicht, obwohl die DC erreichbar sind und ganz sicher auf das SYSVOL-Verzeichnis zugegriffen werden kann. Ein Wireshark-Mitschnitt der Verbindung hat nichts nennenswertes ergeben. Der Client bekommt von seinem Logon-Server oder überhaupt einem DC einfach keine Rückmeldungen.
Vielleicht fehlt mir auch nur das Verständnis zu dem Verhalten einen Domänenprofils, das sich vor einer Verbindung zum AD anmeldet.
Geht es überhaupt?
Ist der oben beschriebene Weg der Verbindung richtig oder ist er optimierbar?
Fehlt bei dieser Art der Verbindung irgendwas? Gibt es neben dem Laden der Profildateien und Benutzergruppenrichtlinien noch andere Sachen, die während/kurz nach der Anmeldung stattfinden?
Macht es Sinn für die externe Arbeit ein lokales Profil anzulegen, welches mittels VPN Domänendienste etc. über die Domänenprofil-Credentials nutzen kann?
Ich denke das hier ist nur eine Grundsatzfrage, bei dem ich nur irgendwas nicht verstehe, da noch nicht viel Erfahrung. Sicher gibt es viele, die extern über das Internet mit der Domäne mittels VPN arbeiten, aber ich weiß nicht wie ich das umsetzen soll.
Vielleicht ist auch nur der Knackpunkt, dass sich der IP-Adressbereich unterscheiden (sollen)? Kann ich mir aber nicht verstellen, da Routing und Co. zu funktionieren scheinen. Irgendwas übersehe ich noch.
Danke m Voraus für die, die ihre Erfahrungen, wie sie das bei sich gelöst haben mit mir teilen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296619
Url: https://administrator.de/contentid/296619
Ausgedruckt am: 25.11.2024 um 04:11 Uhr