Seite 1 von 1

Domäne beitreten via SSL VPN

Verfasst: Mi 02.09.2020, 20:53
von jb311090
Guten Abend Zusammen,

ich stehe gerade vor einer Herausforderung und finde gerade nicht die Lösung.
Es geht darum, dass ein Client welcher sich im HomeOffice befindet einer bestehenden Domäne beitreten muss und das ganze per SSL VPN. 
VPN funktioniert und der DC lässt sich auch per Namen etc anpingen. Nur bekomme ich beim join die Fehlermeldung, dass der Server nicht erreichbar ist. Hat vielleicht nichts direkt mit der UTM zu tun, aber vielleicht kann mir jemand einen Tipp geben...

DANKE!

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 08:39
von pl85
schau mal hier:
https://www.aventistech.com/2020/02/fir ... ad-domain/

E: DNS Auflösung übers VPN muss natürlich auch funktionieren

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 09:30
von merlin
Hallo,

das Problem ist aber dass der Rechner nach dem Neustart einige dieser Ports bereits vor dem Login benötigt, und zu diesem Zeitpunkt läuft der VPN-Client natürlich noch nicht.
Einen frischen Beitritt ohne Site-to-Site-VPN habe ich noch nicht hinbekommen. Wahrscheinlich ließe sich das auch über L2TP-VPN verwirklichen, aber da bin ich mir nicht sicher.
Bei einem Rechner, der bereits in der Domäne ist, und an dem der Benutzer sich schon erfolgreich angemeldet hat, greifen ja die Cached-Credentials - soweit nicht deaktiviert vom Admin - bei der Anmeldung.

Gruß
Rolf

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 13:50
von Andre.S
mit dem OpenVPN Client und der Windows-Aufgabenplanung kann man den VPN Tunnel vor der Anmeldung herstellen lassen - gibt auch Online Schritt für Schritt anleitungen (die ich gerade nicht zur Hand habe). Falls Sie nichts finden kann ich das noch mal suchen...

Edit:
z.B. hier: https://www.internet-xs.de/support/vpn- ... ndows.html
das ist allerdings nicht die Anleitung die ich damals verwendet habe, sieht aber brauchbar aus auf den ersten Blick

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 13:57
von merlin
Das klingt sehr interessant und wird demnächst getestet!
Vielen Dank!

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 13:59
von pl85
merlin hat geschrieben: Hallo,

das Problem ist aber dass der Rechner nach dem Neustart einige dieser Ports bereits vor dem Login benötigt, und zu diesem Zeitpunkt läuft der VPN-Client natürlich noch nicht.
Einen frischen Beitritt ohne Site-to-Site-VPN habe ich noch nicht hinbekommen. Wahrscheinlich ließe sich das auch über L2TP-VPN verwirklichen, aber da bin ich mir nicht sicher.
Bei einem Rechner, der bereits in der Domäne ist, und an dem der Benutzer sich schon erfolgreich angemeldet hat, greifen ja die Cached-Credentials - soweit nicht deaktiviert vom Admin - bei der Anmeldung.

Gruß
Rolf
Ja, stimmt, den Neustart nach Join habe ich nicht bedacht :)

Re: Domäne beitreten via SSL VPN

Verfasst: Do 03.09.2020, 15:55
von pl85
Offline-Domain-Join könnte funktionieren und dann zur Laufzeit wenn VPN verfügbar gpupdate ausführen

Re: Domäne beitreten via SSL VPN

Verfasst: Mo 07.09.2020, 14:48
von jb311090
So ich habe den join hinbekommen... Auf dem DC muss in der Firewall das Tunnel Netz frei sein... Jetzt muss ich es nur noch hinbekommen, dass der Essentials connector funktioniert... Hat jemand eine Idee? Der PC startet dabei neu und meldet sich mit einem System account von MS an.. Dabei muss schon die VPN Verbindung stehen..

Re: Domäne beitreten via SSL VPN

Verfasst: Mo 07.09.2020, 16:56
von Figo
Moin,

okay gerade mal spaßenshalber nachgebaut, angemeldet als lokaler Admin dann VPN aufgebaut und Domain beigetreten.
Anschließender Neustart wieder als lokaler Admin angemeldet, VPN neu aufbaut und anschließend Benutzer gewechselt (lokaler Admin blieb angenemeldet).
Ging alles ohne Probleme wenn auch mit etwas Wartezeit.

Cheers

Re: Domäne beitreten via SSL VPN

Verfasst: Do 01.10.2020, 15:10
von MLuft
Wir haben mal etwas ähnliche realisiert in dem wir Open VPN als Service konfiguriert haben.
Dann wird die Verbindung schon beim starten von Windows aufgebaut: Kann man sich bei openvpn /community-resources/running-openvpn-as-a-windows-service/ ansehen (darf keine externen Links posten....)