3
Zugriff über Windows IKEv2 Client auf Domain Netzlaufwerke (User Credentials)
Moin,
wir haben hier folgende Ausgangssituation:
Windows Server 2016 Domäne, Windows 11 Client Rechner, Zyxel SSL VPN über die Zyxel Firewall USG Flex 700, Zyxel SSL VPN Client (SecuExtender) auf den Windows Client Notebooks.
Die einzelnen User der Windows Domäne bekommen, in Abhängigkeit des User Accounts, verschiedene Netzlaufwerke mittels Logon Script verbunden, wenn sie sich an der Domäne anmelden.
Wenn User remote arbeiten, loggen sie sich normal mit ihren Domänen User Credentials auf dem Notebook ein und bauen danach mit dem Zyxel SSL VPN Client und abweichenden VPN User Credentials eine VPN Verbindung zur Zyxel Firewall auf. Danach haben sie auch wieder Zugriff auf die Netzlaufwerke. Das funktioniert seit Jahren problemlos.
Nun stellt Zyxel seinen Support für den SSL VPN Client ein und wir stellen unseren VPN Tunnel auf IPSec IKEv2 um. Auf Client Seite nutzen wir nun den Windows-eigenen IKEv2 Client, der entsprechend konfiguriert wurde. Auch das funktioniert soweit gut, einschließlich Namensauflösung etc.
Allerdings gibt es ein Problem: Wenn man auf Client Seite nach dem Aufbau des Tunnels auf ein Netzlaufwerk klickt, gibt Windows immer eine Fehlermeldung aus, dass die User Credentials falsch sind bzw. diese neu einzugeben sind. Und hier kommt man mit seinen Domain Logindaten nicht weiter, sondern müsste hier jetzt erneut die VPN Login Daten nutzen, um auf das Netzlaufwerk zugreifen zu können. Nun nutzen wir aber verschiedene Login Daten für den Domain Login und den VPN Tunnel.
Wenn sich der Rechner in der Domänenumgebung befindet, kann er sauber die Netzlaufwerke verbinden; wenn er sich remote befindet, müssen die User auf einmal die VPN User Credentials zusätzlich eingeben, sobald sie auf ein Netzlaufwerk klicken.
Wir könnten jetzt die Domain Zugangsdaten und die VPN Zugangsdaten aller User angleichen, dann würde es wieder funktionieren. Aber eigentlich wollten wir die VPN User Credentials lieber etwas komplexer halten.
Kann uns jemand auf die Sprünge helfen, was wir evtl. falsch konfiguriert haben? Oder ist das beim Windows VPN Client grundsätzlich so, dass Domain und VPN User Credentials übereinstimmen müssen?
wir haben hier folgende Ausgangssituation:
Windows Server 2016 Domäne, Windows 11 Client Rechner, Zyxel SSL VPN über die Zyxel Firewall USG Flex 700, Zyxel SSL VPN Client (SecuExtender) auf den Windows Client Notebooks.
Die einzelnen User der Windows Domäne bekommen, in Abhängigkeit des User Accounts, verschiedene Netzlaufwerke mittels Logon Script verbunden, wenn sie sich an der Domäne anmelden.
Wenn User remote arbeiten, loggen sie sich normal mit ihren Domänen User Credentials auf dem Notebook ein und bauen danach mit dem Zyxel SSL VPN Client und abweichenden VPN User Credentials eine VPN Verbindung zur Zyxel Firewall auf. Danach haben sie auch wieder Zugriff auf die Netzlaufwerke. Das funktioniert seit Jahren problemlos.
Nun stellt Zyxel seinen Support für den SSL VPN Client ein und wir stellen unseren VPN Tunnel auf IPSec IKEv2 um. Auf Client Seite nutzen wir nun den Windows-eigenen IKEv2 Client, der entsprechend konfiguriert wurde. Auch das funktioniert soweit gut, einschließlich Namensauflösung etc.
Allerdings gibt es ein Problem: Wenn man auf Client Seite nach dem Aufbau des Tunnels auf ein Netzlaufwerk klickt, gibt Windows immer eine Fehlermeldung aus, dass die User Credentials falsch sind bzw. diese neu einzugeben sind. Und hier kommt man mit seinen Domain Logindaten nicht weiter, sondern müsste hier jetzt erneut die VPN Login Daten nutzen, um auf das Netzlaufwerk zugreifen zu können. Nun nutzen wir aber verschiedene Login Daten für den Domain Login und den VPN Tunnel.
Wenn sich der Rechner in der Domänenumgebung befindet, kann er sauber die Netzlaufwerke verbinden; wenn er sich remote befindet, müssen die User auf einmal die VPN User Credentials zusätzlich eingeben, sobald sie auf ein Netzlaufwerk klicken.
Wir könnten jetzt die Domain Zugangsdaten und die VPN Zugangsdaten aller User angleichen, dann würde es wieder funktionieren. Aber eigentlich wollten wir die VPN User Credentials lieber etwas komplexer halten.
Kann uns jemand auf die Sprünge helfen, was wir evtl. falsch konfiguriert haben? Oder ist das beim Windows VPN Client grundsätzlich so, dass Domain und VPN User Credentials übereinstimmen müssen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671549
Url: https://administrator.de/forum/zugriff-ueber-windows-ikev2-client-auf-domain-netzlaufwerke-user-credentials-671549.html
Ausgedruckt am: 22.02.2025 um 03:02 Uhr
3 Kommentare
Neuester Kommentar
Haben jetzt auch mal versucht, die Domain User Credentials direkt im Logon Script, welches die Netzlaufwerke mittels net use verbindet, per Umgebungsvariable zu übergeben, sodass sie evtl. lokal auf den Clients gespeichert werden.
Hat aber auch nichts geholfen. Sobald der Rechner sich remote befindet, fragt er nach VPN Einwahl die Zugangsdaten beim Klicken auf die Netzlaufwerke wieder ab und nimmt hier nur die VPN Userdaten und nicht die Domainzugangsdaten.
Ein Hinweis wäre noch, dass wir die Netzlaufwerke immer mit dem Schalter '-persistent' anlegen lassen, damit der User diese auch sieht, wenn er sich remote einloggt und nicht jedesmal erst neu verbinden muss.
Hat aber auch nichts geholfen. Sobald der Rechner sich remote befindet, fragt er nach VPN Einwahl die Zugangsdaten beim Klicken auf die Netzlaufwerke wieder ab und nimmt hier nur die VPN Userdaten und nicht die Domainzugangsdaten.
Ein Hinweis wäre noch, dass wir die Netzlaufwerke immer mit dem Schalter '-persistent' anlegen lassen, damit der User diese auch sieht, wenn er sich remote einloggt und nicht jedesmal erst neu verbinden muss.
Hallo Ostsee,
hatten wir auch, wir haben es so gelöst dass wir die Authentifizierung für den VPN auf AD umgestellt haben.
Seitdem funktioniert das sauber.
https://support.zyxel.eu/hc/de/articles/360001391154-Authentifizierung-F ...
Liebe Grüße
Nepomuk
hatten wir auch, wir haben es so gelöst dass wir die Authentifizierung für den VPN auf AD umgestellt haben.
Seitdem funktioniert das sauber.
https://support.zyxel.eu/hc/de/articles/360001391154-Authentifizierung-F ...
Liebe Grüße
Nepomuk
Hi Nepumuk,
OK, aber dann nehmt Ihr für die User VPN Einwahl an der USG die "normalen" AD Login Daten, die der DC bereitstellt. Das wollen wir eigentlich nicht. Die VPN Einwahl User Credentials und Windows Domänen Login sollten verschieden sein.
Aber ich habe jetzt parallel schon andere Threads gefunden, in denen das Mounten der Netzlaufwerke erst nach dem VPN Tunnelaufbau über GPO funktionieren soll. Da lesen wir uns jetzt erst mal ein.
OK, aber dann nehmt Ihr für die User VPN Einwahl an der USG die "normalen" AD Login Daten, die der DC bereitstellt. Das wollen wir eigentlich nicht. Die VPN Einwahl User Credentials und Windows Domänen Login sollten verschieden sein.
Aber ich habe jetzt parallel schon andere Threads gefunden, in denen das Mounten der Netzlaufwerke erst nach dem VPN Tunnelaufbau über GPO funktionieren soll. Da lesen wir uns jetzt erst mal ein.
