Windows VPN - NLA ist Public statt Domain
Hallo Administratoren,
ich komme erneut mit einem Problem :X
Wir haben seit einem Jahr den Windows 10 AlwaysOn VPN über SCCM verteilt und bislang keine Probleme gehabt.
Seit heute, 10 Uhr, funktioniert der VPN bei den meisten nur noch bedingt.
Die Verbindung wird hergestellt, der NLA definiert das Netzwerk als Public und es werden keine DNS-Abfragen an unseren DC weitergeleitet. Meistens laufen die über den lokalen Router der Benutzer.
Testweise haben wir die Metrik des VPN-Adapters heruntergestuft, sodass er geringer ist als die des physischen Adapters.
Siehe da - es funktioniert - das Netzwerk wird als Domain definiert. Aber er leitet jetzt natürlich jeden Traffic von DNS Abfragen direkt über unseren DC... Was nicht so sauber ist.
Habt ihr da eventuell eine Idee, woran es liegen könnte?
Die Kerberos-Tickets kann er sich nicht holen, weil die Verbindung zum DC nicht funktioniert.
Den DC kann ich aber bspw. über nslookup | lserver DC.FQDN.net erreichen.
Wir sind schon am verzweifeln
Mit freundlichen Grüßen
Celiko
ich komme erneut mit einem Problem :X
Wir haben seit einem Jahr den Windows 10 AlwaysOn VPN über SCCM verteilt und bislang keine Probleme gehabt.
Seit heute, 10 Uhr, funktioniert der VPN bei den meisten nur noch bedingt.
Die Verbindung wird hergestellt, der NLA definiert das Netzwerk als Public und es werden keine DNS-Abfragen an unseren DC weitergeleitet. Meistens laufen die über den lokalen Router der Benutzer.
Testweise haben wir die Metrik des VPN-Adapters heruntergestuft, sodass er geringer ist als die des physischen Adapters.
Siehe da - es funktioniert - das Netzwerk wird als Domain definiert. Aber er leitet jetzt natürlich jeden Traffic von DNS Abfragen direkt über unseren DC... Was nicht so sauber ist.
Habt ihr da eventuell eine Idee, woran es liegen könnte?
Die Kerberos-Tickets kann er sich nicht holen, weil die Verbindung zum DC nicht funktioniert.
Den DC kann ich aber bspw. über nslookup | lserver DC.FQDN.net erreichen.
Wir sind schon am verzweifeln
Mit freundlichen Grüßen
Celiko
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 982502713
Url: https://administrator.de/forum/windows-vpn-nla-ist-public-statt-domain-982502713.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
3 Kommentare
Neuester Kommentar
Hi
Was wurde den um 10 Uhr geändert?
Was wurde bisher probiert ?
Wurden neue öffentliche DNS Einträge gesetzt ?
NLA DNS Probe mal geprüft:
https://www.msxfaq.de/netzwerk/grundlagen/network_location_awareness.htm
Was kommt wenn du extern deine AD Domain aufrufst ? Sprich in den Browser AD.Domain.de eingibst ?
Was kommt zurück?
Welche Viren / Firewall Lösung setzt ihr ein ? Wurde hier was geändert ? Update? Mal deaktiviert?
Mal das letzte Windows Update deinstalliert ? WSUS / SCCM Console mal geprüft welches als letztes freigeben wurde bzw. wann laufen eure ADRs am SCCM?
Wurde was an einer Policy geändert ? Sollte sich am Timestampe nachweisen lassen ?
Mit freundlichen Grüßen Nemesis
Was wurde den um 10 Uhr geändert?
Was wurde bisher probiert ?
Wurden neue öffentliche DNS Einträge gesetzt ?
NLA DNS Probe mal geprüft:
https://www.msxfaq.de/netzwerk/grundlagen/network_location_awareness.htm
Was kommt wenn du extern deine AD Domain aufrufst ? Sprich in den Browser AD.Domain.de eingibst ?
Was kommt zurück?
Welche Viren / Firewall Lösung setzt ihr ein ? Wurde hier was geändert ? Update? Mal deaktiviert?
Mal das letzte Windows Update deinstalliert ? WSUS / SCCM Console mal geprüft welches als letztes freigeben wurde bzw. wann laufen eure ADRs am SCCM?
Wurde was an einer Policy geändert ? Sollte sich am Timestampe nachweisen lassen ?
Mit freundlichen Grüßen Nemesis
Hi
Okay was passiert auf den wenigen betroffenen Clients bei einem ipconfig /flushdns ? Ggf mehrfach und dann ein gpupdate /force ?
Sind die clients bei einem anderen Internetanbieter, als da wo du den Ping probiert hast?
Hatte sowas mal bei der Telekom die haben statt der nicht auflösbaren Domain ne Werbeseite der Telekom bzw t-online geladen ... Fachbegriff entfallen wie diese Art der Domainumleitung beim Provider heißt.
Wie sieht es den bei AD Sites aus ist das richtige Netz für deine always on Client hinterlegt oder fehlt eine kleine Teilmenge ?
Da du schreibst nur ein Teil der Clients sind es immer die selben oder gibt sich das Problem ?
Ggf ein Admin doch ne GPO losgelassen und diese um sie zu "vertuschen" gelöscht ? Oder bist du die ganze IT ?
Sind die beiden im always on VPN angegebenen internen DNS Server erreichbar ? Oder gibt es hier DNS Fehler ?
Mit freundlichen Grüßen Nemesis
Okay was passiert auf den wenigen betroffenen Clients bei einem ipconfig /flushdns ? Ggf mehrfach und dann ein gpupdate /force ?
Sind die clients bei einem anderen Internetanbieter, als da wo du den Ping probiert hast?
Hatte sowas mal bei der Telekom die haben statt der nicht auflösbaren Domain ne Werbeseite der Telekom bzw t-online geladen ... Fachbegriff entfallen wie diese Art der Domainumleitung beim Provider heißt.
Wie sieht es den bei AD Sites aus ist das richtige Netz für deine always on Client hinterlegt oder fehlt eine kleine Teilmenge ?
Da du schreibst nur ein Teil der Clients sind es immer die selben oder gibt sich das Problem ?
Ggf ein Admin doch ne GPO losgelassen und diese um sie zu "vertuschen" gelöscht ? Oder bist du die ganze IT ?
Sind die beiden im always on VPN angegebenen internen DNS Server erreichbar ? Oder gibt es hier DNS Fehler ?
Mit freundlichen Grüßen Nemesis