05.01.2021

4580

Windows Server - Netzlaufwerk über VPN

Hallo zusammen,

ich verwalte seit kurzem einen Windows Server 2019 Standard in unserer Firma (4 Personen) und habe nun folgendes Problem.

Wir nutzen eine AD mit einem DFS-Fileserver. Jeder Benutzer hat per GPO sein Netzlaufwerk zugewiesen.
Im Netzwerk der Firma funktioniert das natürlich einwandfrei. Das Gateway ist eine FritzBox 7490, welche VPN Zugänge für jeden Mitarbeiter eingerichtet hat.

Wenn ich also mit einem Client den Fernzugang starte, verbindet sich dieser auch problemlos. Ich bekomme aber keinen Zugriff mehr auf die Netzlaufwerke.
Auch wenn ich im Browser den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht. Die FritzBox ist (noch) der DHCP-Server und vergibt dem VPN Zugang auch die Richtige IP in der richtigen Range (Server: 192.168.0.253 VPN-Client 192.168.0.245).

Der Zugriff vom Client über VPN über RDP auf den Server funktioniert allerdings auch nur mit Eingabe der IP. Im Firmennetzwerk brauche ich für RDP nur den Namen (SRV-01) einzugeben.

Was mache ich falsch?

Vielen Dank schon mal im Voraus für die Hilfe!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 637388

Url: https://administrator.de/forum/windows-server-netzlaufwerk-ueber-vpn-637388.html

Ausgedruckt am: 13.04.2025 um 16:04 Uhr

24 Kommentare

Neuester Kommentar

den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht.

Wenn du statt Namen die IP angibst: \\192.168.0.253\data oder über die Eingabeaufforderung net use s: \\192.168.0.253\data klappt das ?!

Kling stark nach DNS, wenn es via IP geht

VPN Client richtig eingerichtet ? Sofern die FritzVPN nutzt, gibt es da einen relevanten Reiter im ShrewSoft-Cleint, sofern du diesen nutzt.

Den sieht er vermutlich nicht wenn er, wie er schreibt, den AVM Client (Fernzugang) nutzt und nicht den Shrew Client ?!

@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)

@xibitt wie sieht deine .cfg aus ?

Hallo,

Zitat von @xibitt:
Was mache ich falsch?

Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?

Gruß,
Peter

Zitat von @aqui:

den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht.

Wenn du statt Namen die IP angibst: \\192.168.0.253\data oder über die Eingabeaufforderung net use s: \\192.168.0.253\data klappt das ?!

\\192.168.0.253\data funktioniert nicht.
Bei net use s: \\192.168.0.253\data
Fragt er Benutzer und Kennwort ab und zeigt an, dass der Befehl erfolgreich ausgeführt wurde. Jedoch wird im Explorer nichts hinzugefügt.

Zitat von @Pjordorf:

Hallo,

Zitat von @xibitt:
Was mache ich falsch?

Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?

Gruß,
Peter

Hallo Peter,

die DNS Konfiguration finde ich im AVM Fernzugang-Client nicht.
Der DNS Server ist der Windows-Server und die FritzBox hat diesen auch eingetragen.

Zitat von @mshm17:

@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)

@xibitt wie sieht deine .cfg aus ?

Die .cfg sieht so aus (Ich habe sensible Daten mit einem XXX versehen):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
 */

version {
        revision = "$Revision: 1.30 $";  
        creatversion = "1.1";  
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = ‚’XXX.myfritz.net";  
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.0.244;
                remoteip = 0.0.0.0;
                remotehostname = „XXX.myfritz.net";  
                localid {
                        user_fqdn = "XXX“;  
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";  
                keytype = keytype_pre_shared;
                key = „XXX/ XXX“;
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.0.244;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.0.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";  
                accesslist = "permit ip any 192.168.0.0 255.255.255.0",   
                             "reject udp any any eq 53",   
                             "reject udp any any eq 500",   
                             "reject udp any any eq 4500",   
                             "permit ip any any";  
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Bitte nicht im Sekundentakt mit Einzelthreads antworten, das verwirrt eher und schaded der Übersichtlichkeit.

Kann man auch intelligent mit einem @... vor dem Nickname des Teilnehmers zu einem zusammenfassen.
Zudem wäre es es hilfreich für die Community hier wenn du die Güte hättest obigen FritzBox Konfig Text in Code Tags zu packen:
Formatierungen in den Beiträgen
Kann man übrigens noch nachträglich über den "Mehr" Button rechts machen...

Hi

Hast du mal das versucht (Siehe Link) Hat bei mir mit Windows 10 SSTP VPN auf einem Microtik Router und Windows Server 2016 mit shares in einem DFS welche via GPP Objekt verbunden werden, das gewünschte Ergebnis erzielt.

https://docs.microsoft.com/de-de/troubleshoot/windows-client/networking/ ...

Mit freundlichen Grüßen Nemesis

@nEmEsIs

Ist diese Fehlerbehebung im regedit des Servers oder des Clients zu tätigen?

Hi

Am Client. Danach Neustarten.

Mit freundlichen Grüßen Nemesis

"reject udp any any eq 53",
Mach das mal weg.

dann funktioniert die Verbindung leider gar nicht mehr.

@nEmEsIs

Das hat leider auch nicht funktioniert.

@aqui

Ich habe jetzt noch einmal net use probiert und folgenden Screenshot dabei.

Es funktioniert trotzdem nicht.

Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.

Moin

Zitat von @xibitt:

Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.

Du schriebst, dass RDP zum Server ebenso geht. Dann sollte es kein Problem mit der Firewall sein.
Das ist aber schnell mit deaktivierter Firewall getestet.

Folgendes würde ich zuerst ändern:

DHCP vom Windows Server übernehmen lassen, dort auch das Gateway und den DNS-Server sowie die Domäne mitgeben
IP-Adressbereich in der Firma umstellen, da 192.168.0.0/24 auch von manchen Provider-Routern als Vorgabe verwendet wird. Hier empfiehlt sich ein Bereich, der nicht von Routern großer Provider verwendet wird, bspw. 10.x.x.x oder 172.x.x.x
Fritzfernzugang durch den kostenlosen Shrew Soft Client (Version 2.2.2) ersetzen. Dort kannst du in der DNS-Konfiguration deinen DNS-Server und deine Domäne mitgeben und dann klappt auch die Namensauflösung über das VPN

PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert

Ist schon gemeldet an @Frank und ein bekannter Bug.
Das passiert nur wenn hinter den Aufzählungen kein Text mehr kommt.
Setze einfach in die Zeile danach nur einen Punkt "." und dann kann man die Aufzeichnungsliste wieder sehen.

Vielen Dank für den Vorschlag!

Den FritzFernzugang habe ich gegen den Shrew Soft Client ersetzt und habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Den IP-Adressbereich ändern kann ich auch verschiedenen Gründen erst nächste Woche versuchen.
An dem wird es aber vermutlich nicht liegen.

Ich habe also im Shrew Soft Client DNS Server und DNS Suffix intern.XXX.de angegeben. Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.

Hallo,

Zitat von @xibitt:
Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.

Welche Funktionen und welche Inhalte?

habe nun Erfolg beim verbinden mit net use.

Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Gruß,
Peter

Welche Funktionen und welche Inhalte?

Mit den AD-Accounts anmelden, die noch nicht auf dem Client angemeldet waren. GPO's aktualisieren usw.

Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Ja es kommt eine Fehlermeldung

Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Ja er ist korrekt. Was meinst du genau mit dem richtigen auflösen? Wie kann ich das prüfen?

Hi

Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.
Sprich der VPN Client müsste sich hier in den Anmeldebildschirm einklinken.
Ein L2TP oder SSTP oder PPTP (Letztes bitte nicht verwenden) Windows VPN kann im Netzwerkcenter als Adapter angelegt werden und auch auf dem Anmeldebildschirm angezeigt werden.
Hierfür benötigst du aber einen VPN Server / Router der eine der drei oben genannten VPNs kann zb ein Microtik. (Hat auch den Vorteil das es über 443 läuft und somit sich gut darüber Tunneln lässt was bei L2TP/IPSec schwieriger ist)
Dieser Router muss mittels Radius oder nativen Active Diretory sprechen können, um den Benutzer zu kennen.

Was aber momentan bei dir gehen sollte ist, dass du in der Cmd ein gpupdate /force machen können solltest und die Richtlinie aktualisiert werden.
Wenn nicht bitte meine weiter oben genannten (es sind zwei) Regwerte im Link am Client eintragen bzw aktualisieren und Neustarten. Ich denke weiterhin dir spukt die Windows Firewall dazwischen weswegen du auch nicht auf dein DFS intern.xxxy.de zugreifen kannst.

Was sagt den deine Firewall wenn du die VPN Verbindung offen hast? Ist es ein Domain Profil oder ein Private oder gar ein public ?

Mit einem Ping auf intern.xxxy.de
Oder aber einem Nslookup.

Mit freundlichen Grüßen Nemesis

Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.

Hat jetzt tatsächlich über den VPN Client funktioniert.

Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:

Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.
Es funktioniert!

Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).

Ich habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.
Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X). Daher vertraue ich dem ganzen noch nicht so und versuche es morgen in einem anderen Netzwerk. Ich werde die Frage aber jetzt erstmal auf "gelöst" setzen.

Euch allen danke ich für die vielen Vorschläge und Ansätze! Tolle Community!

Hallo,

Zitat von @xibitt:
Hat jetzt tatsächlich über den VPN Client funktioniert.

Works as designed

Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:

Wirklich?!?

Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.

LAN und WLAN im Gleichen Netz, und das sogar gleichzeitig? Tut man (frau) nicht.
Und das du jetzt alles über die Firma leitest ist dir bewusst? Wenn du kein VPN hast, kannst du dann noch nicht mal Aldi aufrufen.

Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).

Works as designed

Ich habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.

Dein Handy hat eine LAN Buchse? Und warum braucht dein Handy ein W-LAN Adapter?

Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X).

Spielt doch jetzt keine wirkliche Rolle welche Private IP dein Netz hat, solange es nicht das 192.168.0.0/(24 ?) von deiner Firma ist (sonst funktioniert dein Routing nicht).

Daher vertraue ich dem ganzen noch nicht so
Warum nicht. Works as designed

Gruß,
Peter