Domäne beitreten via SSL VPN

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jb311090
Beiträge: 19
Registriert: Fr 06.12.2019, 17:11

Domäne beitreten via SSL VPN

Beitrag von jb311090 »

Guten Abend Zusammen,

ich stehe gerade vor einer Herausforderung und finde gerade nicht die Lösung.
Es geht darum, dass ein Client welcher sich im HomeOffice befindet einer bestehenden Domäne beitreten muss und das ganze per SSL VPN. 
VPN funktioniert und der DC lässt sich auch per Namen etc anpingen. Nur bekomme ich beim join die Fehlermeldung, dass der Server nicht erreichbar ist. Hat vielleicht nichts direkt mit der UTM zu tun, aber vielleicht kann mir jemand einen Tipp geben...

DANKE!

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

schau mal hier:
https://www.aventistech.com/2020/02/fir ... ad-domain/

E: DNS Auflösung übers VPN muss natürlich auch funktionieren

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

das Problem ist aber dass der Rechner nach dem Neustart einige dieser Ports bereits vor dem Login benötigt, und zu diesem Zeitpunkt läuft der VPN-Client natürlich noch nicht.
Einen frischen Beitritt ohne Site-to-Site-VPN habe ich noch nicht hinbekommen. Wahrscheinlich ließe sich das auch über L2TP-VPN verwirklichen, aber da bin ich mir nicht sicher.
Bei einem Rechner, der bereits in der Domäne ist, und an dem der Benutzer sich schon erfolgreich angemeldet hat, greifen ja die Cached-Credentials - soweit nicht deaktiviert vom Admin - bei der Anmeldung.

Gruß
Rolf

Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Beitrag von Andre.S »

mit dem OpenVPN Client und der Windows-Aufgabenplanung kann man den VPN Tunnel vor der Anmeldung herstellen lassen - gibt auch Online Schritt für Schritt anleitungen (die ich gerade nicht zur Hand habe). Falls Sie nichts finden kann ich das noch mal suchen...

Edit:
z.B. hier: https://www.internet-xs.de/support/vpn- ... ndows.html
das ist allerdings nicht die Anleitung die ich damals verwendet habe, sieht aber brauchbar aus auf den ersten Blick

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Das klingt sehr interessant und wird demnächst getestet!
Vielen Dank!

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

merlin hat geschrieben: Hallo,

das Problem ist aber dass der Rechner nach dem Neustart einige dieser Ports bereits vor dem Login benötigt, und zu diesem Zeitpunkt läuft der VPN-Client natürlich noch nicht.
Einen frischen Beitritt ohne Site-to-Site-VPN habe ich noch nicht hinbekommen. Wahrscheinlich ließe sich das auch über L2TP-VPN verwirklichen, aber da bin ich mir nicht sicher.
Bei einem Rechner, der bereits in der Domäne ist, und an dem der Benutzer sich schon erfolgreich angemeldet hat, greifen ja die Cached-Credentials - soweit nicht deaktiviert vom Admin - bei der Anmeldung.

Gruß
Rolf
Ja, stimmt, den Neustart nach Join habe ich nicht bedacht :)

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Offline-Domain-Join könnte funktionieren und dann zur Laufzeit wenn VPN verfügbar gpupdate ausführen

jb311090
Beiträge: 19
Registriert: Fr 06.12.2019, 17:11

Beitrag von jb311090 »

So ich habe den join hinbekommen... Auf dem DC muss in der Firewall das Tunnel Netz frei sein... Jetzt muss ich es nur noch hinbekommen, dass der Essentials connector funktioniert... Hat jemand eine Idee? Der PC startet dabei neu und meldet sich mit einem System account von MS an.. Dabei muss schon die VPN Verbindung stehen..

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

okay gerade mal spaßenshalber nachgebaut, angemeldet als lokaler Admin dann VPN aufgebaut und Domain beigetreten.
Anschließender Neustart wieder als lokaler Admin angemeldet, VPN neu aufbaut und anschließend Benutzer gewechselt (lokaler Admin blieb angenemeldet).
Ging alles ohne Probleme wenn auch mit etwas Wartezeit.

Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!

MLuft
Beiträge: 5
Registriert: Mi 02.03.2016, 17:44

Beitrag von MLuft »

Wir haben mal etwas ähnliche realisiert in dem wir Open VPN als Service konfiguriert haben.
Dann wird die Verbindung schon beim starten von Windows aufgebaut: Kann man sich bei openvpn /community-resources/running-openvpn-as-a-windows-service/ ansehen (darf keine externen Links posten....)

Antworten