Windows VPN - NLA ist Public statt Domain

Mitglied: Celiko
Hallo Administratoren,

ich komme erneut mit einem Problem :X

Wir haben seit einem Jahr den Windows 10 AlwaysOn VPN über SCCM verteilt und bislang keine Probleme gehabt.

Seit heute, 10 Uhr, funktioniert der VPN bei den meisten nur noch bedingt.
Die Verbindung wird hergestellt, der NLA definiert das Netzwerk als Public und es werden keine DNS-Abfragen an unseren DC weitergeleitet. Meistens laufen die über den lokalen Router der Benutzer.

Testweise haben wir die Metrik des VPN-Adapters heruntergestuft, sodass er geringer ist als die des physischen Adapters.
Siehe da - es funktioniert - das Netzwerk wird als Domain definiert. Aber er leitet jetzt natürlich jeden Traffic von DNS Abfragen direkt über unseren DC... Was nicht so sauber ist.

Habt ihr da eventuell eine Idee, woran es liegen könnte?
Die Kerberos-Tickets kann er sich nicht holen, weil die Verbindung zum DC nicht funktioniert.
Den DC kann ich aber bspw. über nslookup | lserver DC.FQDN.net erreichen.

Wir sind schon am verzweifeln :( face-sad

Mit freundlichen Grüßen
Celiko

Content-Key: 982502713

Url: https://administrator.de/contentid/982502713

Ausgedruckt am: 19.09.2021 um 10:09 Uhr

Mitglied: nEmEsIs
nEmEsIs 12.07.2021 um 16:32:41 Uhr
Goto Top
Hi

Was wurde den um 10 Uhr geändert?
Was wurde bisher probiert ?

Wurden neue öffentliche DNS Einträge gesetzt ?

NLA DNS Probe mal geprüft:
https://www.msxfaq.de/netzwerk/grundlagen/network_location_awareness.htm

Was kommt wenn du extern deine AD Domain aufrufst ? Sprich in den Browser AD.Domain.de eingibst ?
Was kommt zurück?

Welche Viren / Firewall Lösung setzt ihr ein ? Wurde hier was geändert ? Update? Mal deaktiviert?

Mal das letzte Windows Update deinstalliert ? WSUS / SCCM Console mal geprüft welches als letztes freigeben wurde bzw. wann laufen eure ADRs am SCCM?

Wurde was an einer Policy geändert ? Sollte sich am Timestampe nachweisen lassen ?

Mit freundlichen Grüßen Nemesis
Mitglied: Celiko
Celiko 13.07.2021 aktualisiert um 16:40:14 Uhr
Goto Top
Zitat von @nEmEsIs:

Hi

Was wurde den um 10 Uhr geändert?
Nichts - keiner in der IT hat eine Änderung vorgenommen deshalb sind wir auch so verwirrt :D

Was wurde bisher probiert ?
Manuelle IP Vergabe, Neuinstallation, Überprüfung des VPN Profils, Installation auf Testclient (funktioniert)....
Verringerung der Metrik des VPN Adapters kleiner als die des physischen Adapters hat geholfen (ist aber nicht die Ursache)

Wurden neue öffentliche DNS Einträge gesetzt ?
Auch DNS technisch keine Änderungen vorgenommen
Werde mich morgen durcharbeiten - Diesen NLA habe ich noch nie wirklich verstanden ^^
Was kommt wenn du extern deine AD Domain aufrufst ? Sprich in den Browser AD.Domain.de eingibst ?
Was kommt zurück?
Kann nicht erreicht werden (respond took too long) - weder per IP noch per DNS

Welche Viren / Firewall Lösung setzt ihr ein ? Wurde hier was geändert ? Update? Mal deaktiviert?
Windows Defender | Dell NSA - Keine Veränderungen vorgenommen. Problem tritt nur bei einigen Clients auf - bei dem Großteil funktioniert es.

Mal das letzte Windows Update deinstalliert ? WSUS / SCCM Console mal geprüft welches als letztes freigeben wurde bzw. wann laufen eure ADRs am SCCM?
Windows Update hat bei mehreren Clients seit dem 7.7.21 keine Updates installiert.
Die ADR laufen alle immer an einem Samstag.

Wurde was an einer Policy geändert ? Sollte sich am Timestampe nachweisen lassen ?
Wir haben eine neue RDS-Farm 2019 produktiv eingeschaltet und haben eine Gegenpolicy für den RDS WebFeed erstellt, der alle Reste im Startmenü, Appdata und in der Registry löscht. Das ist eine Policy auf höchster Domänenebene, weshalb diese Änderung auszuschließen ist. Die Zeiteinstellungen bei den Clients ist gleich wie die unseres DC01 (NTP-Rolle). Kann jetzt aber nicht mehr erreicht werden, da DNS nicht funktioniert.

Weitere Info:
In unserem VPN Profil haben wir angegeben, dass unsere Domäne ein TrustedNetwork ist und den DNS Suffix mitgegeben. Wir haben einen Split-Tunneling aktiv, der nur gewisse Netzwerke über den VPN jagen soll.
DNS Abfrage läuft standardmäßig über dem Router des Clients - wenn der DNS nicht gefunden wird fragt er unseren DNS.
Natürlich geht der Traffic direkt über den VPN Tunnel wenn der DNS Name im Cache bereits gespeichert ist.

Mit freundlichen Grüßen Nemesis
Grüße zurück, Celiko
Mitglied: nEmEsIs
nEmEsIs 13.07.2021 um 17:00:06 Uhr
Goto Top
Hi

Okay was passiert auf den wenigen betroffenen Clients bei einem ipconfig /flushdns ? Ggf mehrfach und dann ein gpupdate /force ?

Sind die clients bei einem anderen Internetanbieter, als da wo du den Ping probiert hast?
Hatte sowas mal bei der Telekom die haben statt der nicht auflösbaren Domain ne Werbeseite der Telekom bzw t-online geladen ... Fachbegriff entfallen wie diese Art der Domainumleitung beim Provider heißt.

Wie sieht es den bei AD Sites aus ist das richtige Netz für deine always on Client hinterlegt oder fehlt eine kleine Teilmenge ?

Da du schreibst nur ein Teil der Clients sind es immer die selben oder gibt sich das Problem ?

Ggf ein Admin doch ne GPO losgelassen und diese um sie zu "vertuschen" gelöscht ? Oder bist du die ganze IT :-) face-smile?

Sind die beiden im always on VPN angegebenen internen DNS Server erreichbar ? Oder gibt es hier DNS Fehler ?

Mit freundlichen Grüßen Nemesis
Heiß diskutierte Beiträge
question
Optimale Konfig Synology ISCSI 10GBit an Windows Server gelöst meltersVor 1 TagFrageSAN, NAS, DAS12 Kommentare

Hallo zusammen, an einem Synology Storage habe ich einen Speicherpool, Raid 6 mit 100 TB erstellt. Die 100 TB sollen als ein Gesamtvolume an einem ...

question
Installation als Standardbenutzer oder als AdministratorUserUWVor 17 StundenFrageWindows Installation4 Kommentare

Ist die Benutzerkontensteuerung aktiviert, kann auch ein Standardbenutzer Software installieren. Das Installationsprogramm, oder genauer, UAC fragt den Benutzer dann nach einem Administrator und dem Passwort ...

question
OpnSense Unbound DNS Query Forwardingit-fraggleVor 1 TagFrageDNS3 Kommentare

Hallo zusammen, bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" ...

question
Scheduled Tasks mit MSA ausführenFestus94Vor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, ich hoffe, ihr habt ein ruhiges Wochenende. :-) Ich sitze seit ein paar Tagen vor einem Problem, bei dem ich vermutlich einfach den ...

question
Suche CPU-Tabelle als CSV oder XLS gelöst SarekHLVor 6 StundenFrageCPU, RAM, Mainboards8 Kommentare

Hallo zusammen, kennt jemand eine Tabelle möglichst aller 64Bit-PC- und Notebook-Prozessoren im CSV-, ODS oder XLS/XLSX-Format mit Bezeichnung, Anzahl der Kerne, Geschwindigkeit und vielleicht sogar ...

question
Active Directory NTDS - Settings werden nicht automatisch generiertBombadilVor 23 StundenFrageWindows Server5 Kommentare

Hallo Community :), dies ist mein erster Beitrag bzw. die erste Frage, also nur vorab so zur Info. Mein "Problem" ist aufgetaucht im Zuge des ...

tip
Clonezilla kann Image von Samba-Share nicht mountenthe-buccaneerVor 21 StundenTippLinux

Moinsen allerseits! Ich hatte ein Clonezilla-Image in einen Share /images kopiert und diesen freigegeben um ein Restore zu machen. Allerdings wollte Clonezilla das Image nicht ...

question
Moto g30 SmartSIM-EinrichtungjsysdeVor 1 TagFrageGoogle Android2 Kommentare

N'Abend zusammen. Ich nutze seit ca. 6 Monaten ein Moto g30 mit Dual-SIM (einmal geschäftlich, einmal privat) und habe bei der Ersteinrichtung die SmartSIM-Funktion aktiviert: ...