11
Wie ist eine Authentifizierung mit Windows AD nach lokaler Benutzeranmeldung (ohne Netzwerk) bei anschließend bestehender VPN-Verbindung möglich?
Hallo liebe Experten,
wir haben unsere eigene Windows AD-Domäne in einem Universitätsnetzwerk. Auch haben wir eine eigene Subdomäne in dem Universitätsnetzwerk.
Von Außen ist das Netzwerk und damit auch unsere DCs nur über VPN erreichbar. Die Universität verwendet global Cisco Anyconnect und lässt auch nur diesen Clienten zu. Allerdings kann die Herstellung einer VPN Verbindung mit dem Cisco Anyconnect Clienten erst nach der Benutzeranmeldung am Rechner erfolgen. Somit erfolgt das Windows Login natürlich ohne Kommunikationmöglichkeit mit einem der DCs.
Gibt es eine Möglichkeit die Authentifizierung / "Herstellung einer Vertrauensstellung" nach dem Windows-Login durchzuführen? Z.b. um auf Netzlaufwerke zu zugreifen, die GPO zu aktualisieren oder die Zeit zu synchronisieren?
Beste Grüße
Michael
wir haben unsere eigene Windows AD-Domäne in einem Universitätsnetzwerk. Auch haben wir eine eigene Subdomäne in dem Universitätsnetzwerk.
Von Außen ist das Netzwerk und damit auch unsere DCs nur über VPN erreichbar. Die Universität verwendet global Cisco Anyconnect und lässt auch nur diesen Clienten zu. Allerdings kann die Herstellung einer VPN Verbindung mit dem Cisco Anyconnect Clienten erst nach der Benutzeranmeldung am Rechner erfolgen. Somit erfolgt das Windows Login natürlich ohne Kommunikationmöglichkeit mit einem der DCs.
Gibt es eine Möglichkeit die Authentifizierung / "Herstellung einer Vertrauensstellung" nach dem Windows-Login durchzuführen? Z.b. um auf Netzlaufwerke zu zugreifen, die GPO zu aktualisieren oder die Zeit zu synchronisieren?
Beste Grüße
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566122
Url: https://administrator.de/contentid/566122
Printed on: June 3, 2024 at 08:06 o'clock
11 Comments
Latest comment
Nutz das GINA-Modul (Start before Logon) vom AnyConnect, damit kann man die Verbindung schon vorher aufbauen.
Danke @tikayevent für die super schnelle Antwort! Dein Vorschlag würde das Problem umgehen. Allerdings haben wir keine Möglichkeit Cisco VPN Module herunterzuladen oder zu konfigurieren. Und dies über das Rechenzentrum zu beantragten wird wohl schwierig. Ich werde das aber nochmal prüfen.
VG
Michael
VG
Michael
Wir verbinden uns gar nicht vorher. Vielleicht will der Anwender ja auch gar nicht online gehen. Wir starten einfach ein Script mit gpupdate direkt nachdem sich der Anwender manuell verbunden hat, es bleibt ja auch ihm überlassen ob er sein VPN Kennwort immer wieder eingeben will oder speichert. Mit dem gpupdate kommen auch die Laufwerke kurz danach von selbst.
1
Hallo @NordicMike, auch dir herzlichen Dank!
Leider kommt dann bei mir der Fehler:
Leider kommt dann bei mir der Fehler:
PS C:\WINDOWS\system32> gpupdate /force
Die Richtlinie wird aktualisiert...
Die Computerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten...
Kann der Rechner denn DNS, LDAP und SMB auf dem zuständigen DC über VPN erreichen? Ist der VPN-IP-Bereich als Standort im DC eingetragen?
1
Hallo @tikayevent,
DNS, LDAP, SMBv3 (mit Passwort Eingabe) passt. Verbindungsspezifisches DNS Suffix muss nach Neuaufbau der VPN Verbindung immer neu gesetzt werden (wird auf sonst auf Rechenzentrum gesetzt und nicht auf unsere Sub-Domäne).
Die Standort-IP Konfig werden ich mal prüfen. Kann das etwas ausmachen (außer weniger Fehlermeldungen im Log)?
Danke euch!
DNS, LDAP, SMBv3 (mit Passwort Eingabe) passt. Verbindungsspezifisches DNS Suffix muss nach Neuaufbau der VPN Verbindung immer neu gesetzt werden (wird auf sonst auf Rechenzentrum gesetzt und nicht auf unsere Sub-Domäne).
Die Standort-IP Konfig werden ich mal prüfen. Kann das etwas ausmachen (außer weniger Fehlermeldungen im Log)?
Danke euch!
Ihr solltet aber das Modul bevorzugt behandeln. Wenn ihr euch immer zuerst lokal anmeldet und das Passwort des Users abgelaufen ist, merkt das System das erstmal nicht. Gerade dann, wenn das AD-Konto mit Exchange verknüpft ist bzw. darüber die Mailbox läuft, wird Outlook sich nicht verbinden können.
Danke für dieses Thema, genau das Problem hatte ich bei einem User heute auch! Er ist seit einigen Wochen im Homeoffice und hatte heute Probleme beim Login mit den Cisco AnyConnect-Client. Nachdem ich das Kennwort auf dem DC zum Testen neu gesetzt hatte, funktionierte auch der Login mit AnyConnect. Leider ist es nun so, das der PC noch die alten Credentials für den Login kennt, da vor dem Login noch keine VPN-Verbindung besteht. Der User muss sich also mit seinem alten Kennwort anmelden, aber dann das neue benutzen.
Das GINA-Modul kannte ich nocht nicht, nur die Option im AnyConnect, die VPN vor dem Login aufzubauen, was aber nicht funktioniert hat.
Kann ich die gespeicherten Credentials irgendwie aktualisieren nachdem die VPN aufgebaut wurde?
VG Kay
Das GINA-Modul kannte ich nocht nicht, nur die Option im AnyConnect, die VPN vor dem Login aufzubauen, was aber nicht funktioniert hat.
Kann ich die gespeicherten Credentials irgendwie aktualisieren nachdem die VPN aufgebaut wurde?
VG Kay
Kann ich die gespeicherten Credentials irgendwie aktualisieren nachdem die VPN aufgebaut wurde?
Abmelden und wieder anmelden während die Verbindung steht..Oder Explorer-Prozess im Taskmanager killen und dann im Taskmanager (STRG-SHIFT-ESC) einen neuen Prozess ausführen:
RunAs /user:MYDOMAIN\username explorer.exe
[press enter]
[type user's password]
[press enter]
1
Ob das mit dem Ab- und Anmelden funktioniert weis ich nicht aber bei AnyConnect habe ich mich ganz ganz ganz früher erst mit dem lokalen User angemeldet und anschließend mittels Benutzer wechseln mit dem Domänen Benutzer angemeldet.
Das hat damals funktioniert ob es heute noch funktioniert kann ich ebenfalls nicht mehr sagen da wir Cisco komplett verbannt haben.
Das hat damals funktioniert ob es heute noch funktioniert kann ich ebenfalls nicht mehr sagen da wir Cisco komplett verbannt haben.
1
Danke euch Allen!
@Fabezz: Der Cisco Client ist so konfiguriert, dass Benutzerwechsel zu einem Abbruch der Verbindung führen. Die Konfigurations-xml wird vor jeder Neuverbindung vom Server geladen.
Es funktioniert nun halbwegs, wenn auch nur etwas holprig. Zur Lösung hat geführt:
1: @tikayevent: VPN-Bereich als Domänen Standort
2: Beim Cisco VPN Adapter das IPv6 deaktivieren.
3: Nach (jedem) Verbindungsaufbau die den (sub)Domänen DNS-Server als Primären DNS Server in den Cisco VPN Adapter schreiben.
4: Dann ein fröhliches in der Console
Und schon steht die Verbindung. Bei guter/schneller Verbindungsqualität wird sogar die Offline Synchronisierung durchgeführt.
zeigt auch dass alles passt.
@Fabezz: Der Cisco Client ist so konfiguriert, dass Benutzerwechsel zu einem Abbruch der Verbindung führen. Die Konfigurations-xml wird vor jeder Neuverbindung vom Server geladen.
Es funktioniert nun halbwegs, wenn auch nur etwas holprig. Zur Lösung hat geführt:
1: @tikayevent: VPN-Bereich als Domänen Standort
2: Beim Cisco VPN Adapter das IPv6 deaktivieren.
3: Nach (jedem) Verbindungsaufbau die den (sub)Domänen DNS-Server als Primären DNS Server in den Cisco VPN Adapter schreiben.
4: Dann ein fröhliches
ipconfig /renewUnd schon steht die Verbindung. Bei guter/schneller Verbindungsqualität wird sogar die Offline Synchronisierung durchgeführt.
Test-ComputerSecureChannel -verbose