Doppelte Domänen Anmeldung bei VPN Verbindung

[dmaehlen 10]

Hallo,

 

wir haben ein kleines Problem bei einem Kunden. Der Kunde hat einen Win 2k3 Server, auf dem ein Exchange 2003 läuft. Die Außendienstler verbinden sich über VPN mit der Zentrale und arbeiten ganz normal in Outlook sowie auf den Netzwerkfreigaben. Die Außendienstler haben Notebooks mit WinXP und Office 2003. Nun zum Problem. der Chef hat ein neues Notebook bekommen mit Win7 64Bit und Office. Es funktioniert auch soweit alles reibungslos mit der kleinen Sonderheit dass er beim ersten öffnen von Outlook sowie beim ersten Zugriff auf eine Netzwerkfreigabe er erneut nach der Domänen Authentifizierung gefragt wird. Sowohl bei Outlook als auch im Explorer. kann man diese erneute Authentifizierung umgehen? er meldet sich ja schon am Laptop selbst mit seinem Domänen Account an.

[tester1309 10]

Hallo,

 

also ich verstehe dich richtig: Das Laptop ist am Netzwerk angeschlossen und er meldet sich dann an der Domäne an? Ich denke eher er meldet sich standartmäßig lokal an. Kannst du das mal prüfen?

 

Klaus

[dmaehlen 10]

Nein er meldet sich an der Domäne an. Das funktioniert auch ohne Probleme. Solange er im Firmennetzwerk ist kann er auch ohne Probleme Outlook öffnen und auf die Netzwerkfreigaben zugreifen. Sobald er jedoch auf ausserhalb des Firmennetzwerkes ist und sich am Laptop (selbe Anmeldung wie in der Firma) per VPN einwählt wird er bei zugriff auf Outlook nochmals nach seinem Passwort gefragt sowie beim zugriff auf netzwerkshares.

 

Kleiner Hinweis noch. es sind auch offline Synchronisationen für einzelne Ordner aktiviert. diese lassen sich auch erst synchronisieren nachdem er einmal das Kennwort eingegeben hat beim Versuch auf ein Netzwerkpfad zuzugreifen.

[iDiddi 27]

Hallo dmaehlen,

 

noch mal langsam: Also der Laptop ist in der Domäne aufgenommen und der Chef meldet sich am Laptop auch mit seinem Domänen-Konto an?

 

Was ist das denn genau für eine VPN-Verbindung? Ich denke mal PPTP über eine Windows Standard-VPN-Verbindung, richtig?

[dmaehlen 10]

Hallo iDiddi,

 

ja der Laptop ist in die Domäne aufgenommen und er meldet sich entsprechend mit seinem Domänen Konto an. Anschließend verbindet er sich via Greenbow VPN Client über eine IPSEC Verbindung mit dem Office. Wenn er nun Otulook öffnet oder auf eine Netwerkvreigabe zugreifen möchte wird er erneut nach seiner Domänenauthentifizierung gefragt. Und genau diese Abfrage ist ihm ein Dorn im Auge.

[iDiddi 27]

Tritt das Verhalten bei allen Außendienstlern auf? Falls nein: Wo gibt es Unterschiede (alle noch XP oder auch schon ein 7er dabei)?

 

Ich tippe mal auf Euren VPN-Client. Ist der denn für Windows 7 64Bit freigegeben?

[Dunkelmann 96]

Wie melden sich die XP Notebooks am VPN an?

Erst Login am Notebook und Start des VPN Clients oder wird direkt bei der Anmeldung eine DFÜ/VPN Einwahl gewählt?

 

Grundsätzlich bekommt der offline über cached credentials angemeldete Domänenbenutzer nur einen lokalen Sitzungstoken. Nur bei einer Online-Anmeldung über einen DC bekommt der Benutzer einen Sitzungstoken für die Domäne.

Bei Windows XP war es noch über die DFÜ/VPN Einwahl bei der Anmeldung möglich, sich vor bzw. während der Benutzeranmeldung mit dem Firmennetz zu verbinden und einen Domänentoken für die Session zu erhalten. Bei Windows 7 ist das nicht mehr möglich.

[iDiddi 27]

Hab auch mal ein wenig nachgeforscht. Windows 7 wird voll unterstützt. Auch das was Dunkelmann berichtet, habe ich nachlesen können.

 

Die neueren Versionen des VPN-Clients sollten mittlerweile auch die Anmeldung vor dem eigentlichen Login unterstützen:

 

IPSec VPN Client Software FAQ - TheGreenBow