Windows Server - Netzlaufwerk über VPN
Hallo zusammen,
ich verwalte seit kurzem einen Windows Server 2019 Standard in unserer Firma (4 Personen) und habe nun folgendes Problem.
Wir nutzen eine AD mit einem DFS-Fileserver. Jeder Benutzer hat per GPO sein Netzlaufwerk zugewiesen.
Im Netzwerk der Firma funktioniert das natürlich einwandfrei. Das Gateway ist eine FritzBox 7490, welche VPN Zugänge für jeden Mitarbeiter eingerichtet hat.
Wenn ich also mit einem Client den Fernzugang starte, verbindet sich dieser auch problemlos. Ich bekomme aber keinen Zugriff mehr auf die Netzlaufwerke.
Auch wenn ich im Browser den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht. Die FritzBox ist (noch) der DHCP-Server und vergibt dem VPN Zugang auch die Richtige IP in der richtigen Range (Server: 192.168.0.253 VPN-Client 192.168.0.245).
Der Zugriff vom Client über VPN über RDP auf den Server funktioniert allerdings auch nur mit Eingabe der IP. Im Firmennetzwerk brauche ich für RDP nur den Namen (SRV-01) einzugeben.
Was mache ich falsch?
Vielen Dank schon mal im Voraus für die Hilfe!
ich verwalte seit kurzem einen Windows Server 2019 Standard in unserer Firma (4 Personen) und habe nun folgendes Problem.
Wir nutzen eine AD mit einem DFS-Fileserver. Jeder Benutzer hat per GPO sein Netzlaufwerk zugewiesen.
Im Netzwerk der Firma funktioniert das natürlich einwandfrei. Das Gateway ist eine FritzBox 7490, welche VPN Zugänge für jeden Mitarbeiter eingerichtet hat.
Wenn ich also mit einem Client den Fernzugang starte, verbindet sich dieser auch problemlos. Ich bekomme aber keinen Zugriff mehr auf die Netzlaufwerke.
Auch wenn ich im Browser den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht. Die FritzBox ist (noch) der DHCP-Server und vergibt dem VPN Zugang auch die Richtige IP in der richtigen Range (Server: 192.168.0.253 VPN-Client 192.168.0.245).
Der Zugriff vom Client über VPN über RDP auf den Server funktioniert allerdings auch nur mit Eingabe der IP. Im Firmennetzwerk brauche ich für RDP nur den Namen (SRV-01) einzugeben.
Was mache ich falsch?
Vielen Dank schon mal im Voraus für die Hilfe!
Antworten-
2 
- Mehr
Auf Facebook teilen
Auf Twitter teilen24 Antworten
- LÖSUNG aqui schreibt am 05.01.2021 um 16:21:24 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 17:33:44 Uhr
- LÖSUNG mshm17 schreibt am 05.01.2021 um 16:29:04 Uhr
- LÖSUNG aqui schreibt am 05.01.2021 um 16:39:13 Uhr
- LÖSUNG mshm17 schreibt am 05.01.2021 um 16:43:03 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 17:37:31 Uhr
- LÖSUNG aqui schreibt am 05.01.2021 um 17:53:07 Uhr
- LÖSUNG nEmEsIs schreibt am 05.01.2021 um 18:28:42 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 18:34:59 Uhr
- LÖSUNG nEmEsIs schreibt am 05.01.2021 um 19:04:50 Uhr
- LÖSUNG Xerebus schreibt am 05.01.2021 um 19:27:13 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 21:38:04 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 21:52:47 Uhr
- LÖSUNG goscho schreibt am 06.01.2021 um 09:28:22 Uhr
- LÖSUNG aqui schreibt am 06.01.2021 um 10:34:44 Uhr
- LÖSUNG xibitt schreibt am 06.01.2021 um 15:15:20 Uhr
- LÖSUNG Pjordorf schreibt am 06.01.2021 um 15:44:33 Uhr
- LÖSUNG xibitt schreibt am 06.01.2021 um 16:50:18 Uhr
- LÖSUNG nEmEsIs schreibt am 06.01.2021 um 21:23:29 Uhr
- LÖSUNG xibitt schreibt am 06.01.2021 um 21:38:23 Uhr
- LÖSUNG Pjordorf schreibt am 06.01.2021 um 21:57:08 Uhr
- LÖSUNG aqui schreibt am 07.01.2021 um 13:43:49 Uhr
- LÖSUNG Pjordorf schreibt am 06.01.2021 um 21:57:08 Uhr
- LÖSUNG xibitt schreibt am 06.01.2021 um 21:38:23 Uhr
- LÖSUNG nEmEsIs schreibt am 06.01.2021 um 21:23:29 Uhr
- LÖSUNG xibitt schreibt am 06.01.2021 um 16:50:18 Uhr
- LÖSUNG Pjordorf schreibt am 06.01.2021 um 15:44:33 Uhr
- LÖSUNG goscho schreibt am 06.01.2021 um 09:28:22 Uhr
- LÖSUNG Xerebus schreibt am 05.01.2021 um 19:27:13 Uhr
- LÖSUNG nEmEsIs schreibt am 05.01.2021 um 19:04:50 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 18:34:59 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 17:37:31 Uhr
- LÖSUNG mshm17 schreibt am 05.01.2021 um 16:43:03 Uhr
- LÖSUNG aqui schreibt am 05.01.2021 um 16:39:13 Uhr
- LÖSUNG Pjordorf schreibt am 05.01.2021 um 16:49:31 Uhr
- LÖSUNG xibitt schreibt am 05.01.2021 um 17:34:49 Uhr
LÖSUNG 05.01.2021, aktualisiert um 16:24 Uhr
LÖSUNG 05.01.2021 um 16:29 Uhr
LÖSUNG 05.01.2021, aktualisiert um 16:39 Uhr
LÖSUNG 05.01.2021 um 16:43 Uhr
LÖSUNG 05.01.2021 um 16:49 Uhr
LÖSUNG 05.01.2021 um 17:33 Uhr
Zitat von aqui:
den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht.
Wenn du statt Namen die IP angibst: \\192.168.0.253\data oder über die Eingabeaufforderung net use s: \\192.168.0.253\data klappt das ?!\\192.168.0.253\data funktioniert nicht.
Bei net use s: \\192.168.0.253\data
Fragt er Benutzer und Kennwort ab und zeigt an, dass der Befehl erfolgreich ausgeführt wurde. Jedoch wird im Explorer nichts hinzugefügt.
LÖSUNG 05.01.2021 um 17:34 Uhr
Zitat von Pjordorf:
Hallo,
Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?
Gruß,
Peter
Hallo,
Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?
Gruß,
Peter
Hallo Peter,
die DNS Konfiguration finde ich im AVM Fernzugang-Client nicht.
Der DNS Server ist der Windows-Server und die FritzBox hat diesen auch eingetragen.
LÖSUNG 05.01.2021, aktualisiert um 17:55 Uhr
Zitat von mshm17:
@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)
@xibitt wie sieht deine .cfg aus ?
@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)
@xibitt wie sieht deine .cfg aus ?
Die .cfg sieht so aus (Ich habe sensible Daten mit einem XXX versehen):
*/
version {
revision = "$Revision: 1.30 $";
creatversion = "1.1";
}
pwcheck {
}
datapipecfg {
security = dpsec_quiet;
icmp {
ignore_echo_requests = no;
destunreach_rate {
burstfactor = 6;
timeout = 1;
}
timeexceeded_rate {
burstfactor = 6;
timeout = 1;
}
echoreply_rate {
burstfactor = 6;
timeout = 1;
}
}
masqtimeouts {
tcp = 15m;
tcp_fin = 2m;
tcp_rst = 3s;
udp = 5m;
icmp = 30s;
got_icmp_error = 15s;
any = 5m;
tcp_connect = 6m;
tcp_listen = 2m;
}
ipfwlow {
input {
}
output {
}
}
ipfwhigh {
input {
}
output {
}
}
NAT_T_keepalive_interval = 20;
}
targets {
policies {
name = ‚’XXX.myfritz.net";
connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
virtualip = 192.168.0.244;
remoteip = 0.0.0.0;
remotehostname = „XXX.myfritz.net";
localid {
user_fqdn = "XXX“;
}
mode = mode_aggressive;
phase1ss = "all/all/all";
keytype = keytype_pre_shared;
key = „XXX/ XXX“;
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipaddr = 192.168.0.244;
}
phase2remoteid {
ipnet {
ipaddr = 192.168.0.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.0.0 255.255.255.0",
"reject udp any any eq 53",
"reject udp any any eq 500",
"reject udp any any eq 4500",
"permit ip any any";
wakeupremote = no;
}
}
policybindings {
}
// EOF
LÖSUNG 05.01.2021, aktualisiert um 17:53 Uhr
Bitte nicht im Sekundentakt mit Einzelthreads antworten, das verwirrt eher und schaded der Übersichtlichkeit. 
Kann man auch intelligent mit einem @... vor dem Nickname des Teilnehmers zu einem zusammenfassen.
Zudem wäre es es hilfreich für die Community hier wenn du die Güte hättest obigen FritzBox Konfig Text in Code Tags zu packen:
https://administrator.de/faq/20#toc-27
Kann man übrigens noch nachträglich über den "Mehr" Button rechts machen...
Kann man auch intelligent mit einem @... vor dem Nickname des Teilnehmers zu einem zusammenfassen.Zudem wäre es es hilfreich für die Community hier wenn du die Güte hättest obigen FritzBox Konfig Text in Code Tags zu packen:
https://administrator.de/faq/20#toc-27
Kann man übrigens noch nachträglich über den "Mehr" Button rechts machen...
LÖSUNG 05.01.2021 um 18:28 Uhr
Hi
Hast du mal das versucht (Siehe Link) Hat bei mir mit Windows 10 SSTP VPN auf einem Microtik Router und Windows Server 2016 mit shares in einem DFS welche via GPP Objekt verbunden werden, das gewünschte Ergebnis erzielt.
https://docs.microsoft.com/de-de/troubleshoot/windows-client/networking/ ...
Mit freundlichen Grüßen Nemesis
Hast du mal das versucht (Siehe Link) Hat bei mir mit Windows 10 SSTP VPN auf einem Microtik Router und Windows Server 2016 mit shares in einem DFS welche via GPP Objekt verbunden werden, das gewünschte Ergebnis erzielt.
https://docs.microsoft.com/de-de/troubleshoot/windows-client/networking/ ...
Mit freundlichen Grüßen Nemesis
LÖSUNG 05.01.2021 um 18:34 Uhr
LÖSUNG 05.01.2021, aktualisiert um 19:05 Uhr
LÖSUNG 05.01.2021 um 19:27 Uhr
LÖSUNG 05.01.2021 um 21:38 Uhr
LÖSUNG 05.01.2021 um 21:52 Uhr
@nEmEsIs
Das hat leider auch nicht funktioniert.
@aqui
Ich habe jetzt noch einmal net use probiert und folgenden Screenshot dabei.
Es funktioniert trotzdem nicht.
Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
Das hat leider auch nicht funktioniert.
@aqui
Ich habe jetzt noch einmal net use probiert und folgenden Screenshot dabei.
Es funktioniert trotzdem nicht.
Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
LÖSUNG 06.01.2021, aktualisiert um 09:32 Uhr
Moin
Das ist aber schnell mit deaktivierter Firewall getestet.
Folgendes würde ich zuerst ändern:
PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert
Zitat von xibitt:
Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
Du schriebst, dass RDP zum Server ebenso geht. Dann sollte es kein Problem mit der Firewall sein.Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
Das ist aber schnell mit deaktivierter Firewall getestet.
Folgendes würde ich zuerst ändern:
- DHCP vom Windows Server übernehmen lassen, dort auch das Gateway und den DNS-Server sowie die Domäne mitgeben
- IP-Adressbereich in der Firma umstellen, da 192.168.0.0/24 auch von manchen Provider-Routern als Vorgabe verwendet wird. Hier empfiehlt sich ein Bereich, der nicht von Routern großer Provider verwendet wird, bspw. 10.x.x.x oder 172.x.x.x
- Fritzfernzugang durch den kostenlosen Shrew Soft Client (Version 2.2.2) ersetzen. Dort kannst du in der DNS-Konfiguration deinen DNS-Server und deine Domäne mitgeben und dann klappt auch die Namensauflösung über das VPN
PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert
LÖSUNG 06.01.2021 um 10:34 Uhr
PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert
Ist schon gemeldet an @Frank und ein bekannter Bug.Das passiert nur wenn hinter den Aufzählungen kein Text mehr kommt.
Setze einfach in die Zeile danach nur einen Punkt "." und dann kann man die Aufzeichnungsliste wieder sehen.
LÖSUNG 06.01.2021 um 15:15 Uhr
Vielen Dank für den Vorschlag!
Den FritzFernzugang habe ich gegen den Shrew Soft Client ersetzt und habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Den IP-Adressbereich ändern kann ich auch verschiedenen Gründen erst nächste Woche versuchen.
An dem wird es aber vermutlich nicht liegen.
Ich habe also im Shrew Soft Client DNS Server und DNS Suffix intern.XXX.de angegeben. Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
Den FritzFernzugang habe ich gegen den Shrew Soft Client ersetzt und habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Den IP-Adressbereich ändern kann ich auch verschiedenen Gründen erst nächste Woche versuchen.
An dem wird es aber vermutlich nicht liegen.
Ich habe also im Shrew Soft Client DNS Server und DNS Suffix intern.XXX.de angegeben. Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
LÖSUNG 06.01.2021 um 15:44 Uhr
Hallo,
Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?
Gruß,
Peter
Zitat von xibitt:
Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
Welche Funktionen und welche Inhalte?Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\dataKommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?
Gruß,
Peter
LÖSUNG 06.01.2021 um 16:50 Uhr
Welche Funktionen und welche Inhalte?
Mit den AD-Accounts anmelden, die noch nicht auf dem Client angemeldet waren. GPO's aktualisieren usw.
Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?
Ja es kommt eine Fehlermeldung
Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?
Ja er ist korrekt. Was meinst du genau mit dem richtigen auflösen? Wie kann ich das prüfen?
LÖSUNG 06.01.2021, aktualisiert um 21:25 Uhr
Hi
Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.
Sprich der VPN Client müsste sich hier in den Anmeldebildschirm einklinken.
Ein L2TP oder SSTP oder PPTP (Letztes bitte nicht verwenden) Windows VPN kann im Netzwerkcenter als Adapter angelegt werden und auch auf dem Anmeldebildschirm angezeigt werden.
Hierfür benötigst du aber einen VPN Server / Router der eine der drei oben genannten VPNs kann zb ein Microtik. (Hat auch den Vorteil das es über 443 läuft und somit sich gut darüber Tunneln lässt was bei L2TP/IPSec schwieriger ist)
Dieser Router muss mittels Radius oder nativen Active Diretory sprechen können, um den Benutzer zu kennen.
Was aber momentan bei dir gehen sollte ist, dass du in der Cmd ein gpupdate /force machen können solltest und die Richtlinie aktualisiert werden.
Wenn nicht bitte meine weiter oben genannten (es sind zwei) Regwerte im Link am Client eintragen bzw aktualisieren und Neustarten. Ich denke weiterhin dir spukt die Windows Firewall dazwischen weswegen du auch nicht auf dein DFS intern.xxxy.de zugreifen kannst.
Was sagt den deine Firewall wenn du die VPN Verbindung offen hast? Ist es ein Domain Profil oder ein Private oder gar ein public ?
Mit einem Ping auf intern.xxxy.de
Oder aber einem Nslookup.
Mit freundlichen Grüßen Nemesis
Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.
Sprich der VPN Client müsste sich hier in den Anmeldebildschirm einklinken.
Ein L2TP oder SSTP oder PPTP (Letztes bitte nicht verwenden) Windows VPN kann im Netzwerkcenter als Adapter angelegt werden und auch auf dem Anmeldebildschirm angezeigt werden.
Hierfür benötigst du aber einen VPN Server / Router der eine der drei oben genannten VPNs kann zb ein Microtik. (Hat auch den Vorteil das es über 443 läuft und somit sich gut darüber Tunneln lässt was bei L2TP/IPSec schwieriger ist)
Dieser Router muss mittels Radius oder nativen Active Diretory sprechen können, um den Benutzer zu kennen.
Was aber momentan bei dir gehen sollte ist, dass du in der Cmd ein gpupdate /force machen können solltest und die Richtlinie aktualisiert werden.
Wenn nicht bitte meine weiter oben genannten (es sind zwei) Regwerte im Link am Client eintragen bzw aktualisieren und Neustarten. Ich denke weiterhin dir spukt die Windows Firewall dazwischen weswegen du auch nicht auf dein DFS intern.xxxy.de zugreifen kannst.
Was sagt den deine Firewall wenn du die VPN Verbindung offen hast? Ist es ein Domain Profil oder ein Private oder gar ein public ?
Mit einem Ping auf intern.xxxy.de
Oder aber einem Nslookup.
Mit freundlichen Grüßen Nemesis
LÖSUNG 06.01.2021 um 21:38 Uhr
Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.
Hat jetzt tatsächlich über den VPN Client funktioniert.
Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:
Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.
Es funktioniert!
Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).
Ich habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.
Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X). Daher vertraue ich dem ganzen noch nicht so und versuche es morgen in einem anderen Netzwerk. Ich werde die Frage aber jetzt erstmal auf "gelöst" setzen.
Euch allen danke ich für die vielen Vorschläge und Ansätze! Tolle Community!
LÖSUNG 06.01.2021 um 21:57 Uhr
Hallo,
Works as designed
Und das du jetzt alles über die Firma leitest ist dir bewusst? Wenn du kein VPN hast, kannst du dann noch nicht mal Aldi aufrufen.
Daher vertraue ich dem ganzen noch nicht so
Warum nicht. Works as designed
Gruß,
Peter
Works as designed
Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:
Wirklich?!?Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.
LAN und WLAN im Gleichen Netz, und das sogar gleichzeitig? Tut man (frau) nicht.Und das du jetzt alles über die Firma leitest ist dir bewusst? Wenn du kein VPN hast, kannst du dann noch nicht mal Aldi aufrufen.
Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).
Works as designedIch habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.
Dein Handy hat eine LAN Buchse? Und warum braucht dein Handy ein W-LAN Adapter?Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X).
Spielt doch jetzt keine wirkliche Rolle welche Private IP dein Netz hat, solange es nicht das 192.168.0.0/(24 ?) von deiner Firma ist (sonst funktioniert dein Routing nicht).Daher vertraue ich dem ganzen noch nicht so
Warum nicht. Works as designed
Gruß,
Peter
LÖSUNG 07.01.2021 um 13:43 Uhr
