Windows Server - Netzlaufwerk über VPN

Mitglied: xibitt

xibitt (Level 1) - Jetzt verbinden

05.01.2021 um 16:12 Uhr, 942 Aufrufe, 24 Kommentare, 2 Danke

Hallo zusammen,

ich verwalte seit kurzem einen Windows Server 2019 Standard in unserer Firma (4 Personen) und habe nun folgendes Problem.

Wir nutzen eine AD mit einem DFS-Fileserver. Jeder Benutzer hat per GPO sein Netzlaufwerk zugewiesen.
Im Netzwerk der Firma funktioniert das natürlich einwandfrei. Das Gateway ist eine FritzBox 7490, welche VPN Zugänge für jeden Mitarbeiter eingerichtet hat.

Wenn ich also mit einem Client den Fernzugang starte, verbindet sich dieser auch problemlos. Ich bekomme aber keinen Zugriff mehr auf die Netzlaufwerke.
Auch wenn ich im Browser den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht. Die FritzBox ist (noch) der DHCP-Server und vergibt dem VPN Zugang auch die Richtige IP in der richtigen Range (Server: 192.168.0.253 VPN-Client 192.168.0.245).


Der Zugriff vom Client über VPN über RDP auf den Server funktioniert allerdings auch nur mit Eingabe der IP. Im Firmennetzwerk brauche ich für RDP nur den Namen (SRV-01) einzugeben.

Was mache ich falsch?


Vielen Dank schon mal im Voraus für die Hilfe!
Mitglied: aqui
05.01.2021, aktualisiert um 16:24 Uhr
den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht.
Wenn du statt Namen die IP angibst: \\192.168.0.253\data oder über die Eingabeaufforderung net use s: \\192.168.0.253\data klappt das ?!
Bitte warten ..
Mitglied: mshm17
05.01.2021 um 16:29 Uhr
Kling stark nach DNS, wenn es via IP geht :) face-smile

VPN Client richtig eingerichtet ? Sofern die FritzVPN nutzt, gibt es da einen relevanten Reiter im ShrewSoft-Cleint, sofern du diesen nutzt.
Bitte warten ..
Mitglied: aqui
05.01.2021, aktualisiert um 16:39 Uhr
Den sieht er vermutlich nicht wenn er, wie er schreibt, den AVM Client (Fernzugang) nutzt und nicht den Shrew Client ?!
Bitte warten ..
Mitglied: mshm17
05.01.2021 um 16:43 Uhr
@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)

@xibitt wie sieht deine .cfg aus ?
Bitte warten ..
Mitglied: Pjordorf
05.01.2021 um 16:49 Uhr
Hallo,

Zitat von xibitt:
Was mache ich falsch?
Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?

Gruß,
Peter
Bitte warten ..
Mitglied: xibitt
05.01.2021 um 17:33 Uhr
Zitat von aqui:

den NetBIOS-Namen auflösen will (\\intern.XXX.de\data) geht auch nicht.
Wenn du statt Namen die IP angibst: \\192.168.0.253\data oder über die Eingabeaufforderung net use s: \\192.168.0.253\data klappt das ?!

\\192.168.0.253\data funktioniert nicht.
Bei net use s: \\192.168.0.253\data
Fragt er Benutzer und Kennwort ab und zeigt an, dass der Befehl erfolgreich ausgeführt wurde. Jedoch wird im Explorer nichts hinzugefügt.
Bitte warten ..
Mitglied: xibitt
05.01.2021 um 17:34 Uhr
Zitat von Pjordorf:

Hallo,

Zitat von xibitt:
Was mache ich falsch?
Wie ist deine genaue DNS Konfiguration beim VPN Client? Fragt dieser dein DNS Server der Firma nicht ab?

Gruß,
Peter

Hallo Peter,

die DNS Konfiguration finde ich im AVM Fernzugang-Client nicht.
Der DNS Server ist der Windows-Server und die FritzBox hat diesen auch eingetragen.
Bitte warten ..
Mitglied: xibitt
05.01.2021, aktualisiert um 17:55 Uhr
Zitat von mshm17:

@aqui Man verzeihe mir, dass ich das augenscheinlich überlesen habe ;)

@xibitt wie sieht deine .cfg aus ?


Die .cfg sieht so aus (Ich habe sensible Daten mit einem XXX versehen):

Bitte warten ..
Mitglied: aqui
05.01.2021, aktualisiert um 17:53 Uhr
Bitte nicht im Sekundentakt mit Einzelthreads antworten, das verwirrt eher und schaded der Übersichtlichkeit. :-( face-sad Kann man auch intelligent mit einem @... vor dem Nickname des Teilnehmers zu einem zusammenfassen.
Zudem wäre es es hilfreich für die Community hier wenn du die Güte hättest obigen FritzBox Konfig Text in Code Tags zu packen:
https://administrator.de/faq/20#toc-27
Kann man übrigens noch nachträglich über den "Mehr" Button rechts machen... ;-) face-wink
Bitte warten ..
Mitglied: nEmEsIs
05.01.2021 um 18:28 Uhr
Hi

Hast du mal das versucht (Siehe Link) Hat bei mir mit Windows 10 SSTP VPN auf einem Microtik Router und Windows Server 2016 mit shares in einem DFS welche via GPP Objekt verbunden werden, das gewünschte Ergebnis erzielt.

https://docs.microsoft.com/de-de/troubleshoot/windows-client/networking/ ...

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: xibitt
05.01.2021 um 18:34 Uhr
@nEmEsIs

Ist diese Fehlerbehebung im regedit des Servers oder des Clients zu tätigen?
Bitte warten ..
Mitglied: nEmEsIs
05.01.2021, aktualisiert um 19:05 Uhr
Hi

Am Client. Danach Neustarten.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: Xerebus
05.01.2021 um 19:27 Uhr
"reject udp any any eq 53",
Mach das mal weg.
Bitte warten ..
Mitglied: xibitt
05.01.2021 um 21:38 Uhr
dann funktioniert die Verbindung leider gar nicht mehr.
Bitte warten ..
Mitglied: xibitt
05.01.2021 um 21:52 Uhr
@nEmEsIs

Das hat leider auch nicht funktioniert.

@aqui

Ich habe jetzt noch einmal net use probiert und folgenden Screenshot dabei.

net use - Klicke auf das Bild, um es zu vergrößern

Es funktioniert trotzdem nicht.

Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
Bitte warten ..
Mitglied: goscho
LÖSUNG 06.01.2021, aktualisiert um 09:32 Uhr
Moin
Zitat von xibitt:
Könnte es evtl auch an der Windows Firewall liegen?
Ich kann mit aktiviert VPN-Verbindung den Server (also 192.168.0.253) über ping vom Client erreichen.
Du schriebst, dass RDP zum Server ebenso geht. Dann sollte es kein Problem mit der Firewall sein.
Das ist aber schnell mit deaktivierter Firewall getestet. ;-) face-wink

Folgendes würde ich zuerst ändern:

  • DHCP vom Windows Server übernehmen lassen, dort auch das Gateway und den DNS-Server sowie die Domäne mitgeben
  • IP-Adressbereich in der Firma umstellen, da 192.168.0.0/24 auch von manchen Provider-Routern als Vorgabe verwendet wird. Hier empfiehlt sich ein Bereich, der nicht von Routern großer Provider verwendet wird, bspw. 10.x.x.x oder 172.x.x.x
  • Fritzfernzugang durch den kostenlosen Shrew Soft Client (Version 2.2.2) ersetzen. Dort kannst du in der DNS-Konfiguration deinen DNS-Server und deine Domäne mitgeben und dann klappt auch die Namensauflösung über das VPN

PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert
Bitte warten ..
Mitglied: aqui
06.01.2021 um 10:34 Uhr
PS: Warum gehen Aufzählungen nicht mehr? Sobald ich ein * (manuell) einfüge, wird diese Zeile ignoriert
Ist schon gemeldet an @Frank und ein bekannter Bug.
Das passiert nur wenn hinter den Aufzählungen kein Text mehr kommt.
Setze einfach in die Zeile danach nur einen Punkt "." und dann kann man die Aufzeichnungsliste wieder sehen. ;-) face-wink
Bitte warten ..
Mitglied: xibitt
06.01.2021 um 15:15 Uhr
Vielen Dank für den Vorschlag!

Den FritzFernzugang habe ich gegen den Shrew Soft Client ersetzt und habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Den IP-Adressbereich ändern kann ich auch verschiedenen Gründen erst nächste Woche versuchen.
An dem wird es aber vermutlich nicht liegen.

Ich habe also im Shrew Soft Client DNS Server und DNS Suffix intern.XXX.de angegeben. Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
Bitte warten ..
Mitglied: Pjordorf
06.01.2021 um 15:44 Uhr
Hallo,

Zitat von xibitt:
Immerhin kann man jetzt den Share nutzen aber leider nicht die Funktionen und Inhalte der AD.
Welche Funktionen und welche Inhalte?

habe nun Erfolg beim verbinden mit net use.
Allerdings auch hierbei nur mit net use S: \\192.168.0.253\data
Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Gruß,
Peter
Bitte warten ..
Mitglied: xibitt
06.01.2021 um 16:50 Uhr
Welche Funktionen und welche Inhalte?

Mit den AD-Accounts anmelden, die noch nicht auf dem Client angemeldet waren. GPO's aktualisieren usw.

Kommt eine Fehlermeldung wenn du versuchst mit (\\intern.XXX.de\data) das zu machen? Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Ja es kommt eine Fehlermeldung


Der FQDN ist korrekt und dein Interner DNS löst den Namen richtig auf?

Ja er ist korrekt. Was meinst du genau mit dem richtigen auflösen? Wie kann ich das prüfen?
Bitte warten ..
Mitglied: nEmEsIs
06.01.2021, aktualisiert um 21:25 Uhr
Hi

Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.
Sprich der VPN Client müsste sich hier in den Anmeldebildschirm einklinken.
Ein L2TP oder SSTP oder PPTP (Letztes bitte nicht verwenden) Windows VPN kann im Netzwerkcenter als Adapter angelegt werden und auch auf dem Anmeldebildschirm angezeigt werden.
Hierfür benötigst du aber einen VPN Server / Router der eine der drei oben genannten VPNs kann zb ein Microtik. (Hat auch den Vorteil das es über 443 läuft und somit sich gut darüber Tunneln lässt was bei L2TP/IPSec schwieriger ist)
Dieser Router muss mittels Radius oder nativen Active Diretory sprechen können, um den Benutzer zu kennen.

Was aber momentan bei dir gehen sollte ist, dass du in der Cmd ein gpupdate /force machen können solltest und die Richtlinie aktualisiert werden.
Wenn nicht bitte meine weiter oben genannten (es sind zwei) Regwerte im Link am Client eintragen bzw aktualisieren und Neustarten. Ich denke weiterhin dir spukt die Windows Firewall dazwischen weswegen du auch nicht auf dein DFS intern.xxxy.de zugreifen kannst.

Was sagt den deine Firewall wenn du die VPN Verbindung offen hast? Ist es ein Domain Profil oder ein Private oder gar ein public ?

Mit einem Ping auf intern.xxxy.de
Oder aber einem Nslookup.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: xibitt
06.01.2021 um 21:38 Uhr
Also ein Account anmelden welches noch nicht an dem System angemeldet war geht meines Wissens nur mit einem nativem Windows VPN, da am anmeldebildschirm hier die Möglichkeit besteht sich mit dem VPN anzumelden.

Hat jetzt tatsächlich über den VPN Client funktioniert.




Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:

Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.
Es funktioniert!

Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).

Ich habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.
Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X). Daher vertraue ich dem ganzen noch nicht so und versuche es morgen in einem anderen Netzwerk. Ich werde die Frage aber jetzt erstmal auf "gelöst" setzen.

Euch allen danke ich für die vielen Vorschläge und Ansätze! Tolle Community!
Bitte warten ..
Mitglied: Pjordorf
06.01.2021 um 21:57 Uhr
Hallo,

Zitat von xibitt:
Hat jetzt tatsächlich über den VPN Client funktioniert.
Works as designed

Ich habe nun nach vielen Stunden wahrscheinlich die Lösung:
Wirklich?!?

Ich habe den Adaptern (W-LAN und LAN) noch die 192.168.0.2 als Standardgateway hinzugefügt - also die FritzBox in der Firma.
LAN und WLAN im Gleichen Netz, und das sogar gleichzeitig? Tut man (frau) nicht.
Und das du jetzt alles über die Firma leitest ist dir bewusst? Wenn du kein VPN hast, kannst du dann noch nicht mal Aldi aufrufen.

Das auflösen des DFS-Shares, gpupdate /force - ja sogar einen Account anmelden, der noch nicht im System war (solange die Session mit dem Benutzer, bei dem der VPN läuft angemeldet bleibt...).
Works as designed

Ich habe auch, weil ich es kaum glauben konnte, mein Handy als Hotspot genutzt, LAN oder W-LAN Adapter benutzt.
Dein Handy hat eine LAN Buchse? Und warum braucht dein Handy ein W-LAN Adapter?:-) face-smile

Von mir zu Hause läuft das Netz über eine FritzBox (allerdings 192.168.2.X).
Spielt doch jetzt keine wirkliche Rolle welche Private IP dein Netz hat, solange es nicht das 192.168.0.0/(24 ?) von deiner Firma ist (sonst funktioniert dein Routing nicht).

Daher vertraue ich dem ganzen noch nicht so
Warum nicht. Works as designed

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
07.01.2021 um 13:43 Uhr
Es funktioniert!
Bitte dann auch
https://administrator.de/faq/32
nicht vergessen !!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft HILFE!!!!
gelöst tAmtAm44Vor 18 StundenFrageWindows Server26 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Netzwerke
Windows 10 - Netzwerk Speedlimit?
alwayshungryVor 1 TagFrageNetzwerke17 Kommentare

Hallo, ich bin noch neu hier und hoffe, dass ihr mir helfen könnt. Gibt es eine Limitierung für Windows 10 bei der Netzwerkgeschwindigkeit? Leider ...

DNS
Domain überkleben
IT-EinsteigerVor 1 TagFrageDNS3 Kommentare

Guten Morgen, Ich habe mir einen WebSpace angemietet. Dieser läuft bspw. über die Domain storage.dienstleister.de. Jetzt ist das kein schöner Name und ich hätte ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 20 StundenFrageDatenschutz30 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

Festplatten, SSD, Raid
WD RED PRO Festplatte als "Recertified" und "white" gelabelt
gelöst Torsten2010Vor 1 TagFrageFestplatten, SSD, Raid5 Kommentare

Hallo, ich wollte heute die Firmen QNAP Nas mit neuen Festplatten bestücken. Beim Auspacken fiel mir sofort auf, das die Festplatten weiß gelabelt sind ...

Groupware
Anfängerfrage zu Teams, wie kann ich mit einer externen Person chatten?
StefanKittelVor 1 TagFrageGroupware7 Kommentare

Hallo, ich habe mal eine Anfängerfrage zur MS Teams. Ich habe einen M365 Business Basic Account mit meiner Domäne. Ich habe einen User mit ...

Windows 10
Inaccessible boot device bei Windows 10
jensgebkenVor 1 TagFrageWindows 1014 Kommentare

Hallo Gemeinschaft, habe Probleme bei einem Windows 10 Pro PC beim Start - blue screen mit inaccessible boot device habe folgendes probiert - automatische ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS14 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...