Kruemel38 10 Geschrieben 3. März 2012 Melden Teilen Geschrieben 3. März 2012 Hallo zusammen, könnte mir mal jemand erklären, wie eine Authentifizierung über eine VPN-Verbindung abläuft. Folgendes Problem: Laptop ist nicht in der Firma. User meldet sich ohne LAN-Verbindung an seinem Laptop mit seinen Domänenuserdaten an. Eigentlich wird ja bei einer Anmeldung ein Kerberos Ticket vom Domänenkontroller ausgestellt. Hab das mit kerbtray kontrolliert. Im LAN geht das einwandfrei. Außer Haus kann das ja nicht gehen, da ja noch nicht mit dem Fimen-LAN verbunden. Jetzt wird eine VPN-Verbindung zu uns hergestellt. User möchte dann eine Verbindung mit einem Netzlaufwerk herstellen. Und genau das geht zur Zeit bei uns nicht einwandfrei. Es wird auch kein Kerberosticket ausgestellt. Bekommt der User eigentlich normalerweise über VPN ein solches Ticket zugeteilt? Hier erfolgt die Autentifizierung mit NTLM. Hab das mit Wireshark kontrolliert. Beim verbinden des Netzlaufwerks mit den Anmeldedaten des Users kommt eine Meldung. Die Anmeldedaten wurden bereits ausprobiert. Es ist kein Domänenkontroller zur bestätigung des Kennworts erreichbar. Wenn ich jetzt genau das selbe Netzlaufwerk mit den Anmeldedaten eines anderen User herverbinde geht es. Das Netzlaufwerk wird verbunden. Aber es wird immer noch kein Kerberosticket ausgestellt. Dann muss ja jetzt der Domänenkontroller verfügbar sein, der andere User muss ja nun auch autentifiziert oder autorisiert werden. Wenn ich jetzt das Laufwerk wieder trenne und nochmals die Anmeldedaten des ersten Users verwende, wird das Laufwerk einwandfrei, ohne Fehlermeldung, herverbunden. Nur beim ersten Mal bekommt der User der sich am Latop eigentlcih anmeldet das Laufwerk mit obiger Fehlermeldung nicht herverbunden. Und ich habe keine Ahnung warum das seit ein paar Wochen nicht mehr geht. Weiss vielleicht jemand was da hier gerade falsch laufen könnte? Gruß Zitieren Link zu diesem Kommentar
Kruemel38 10 Geschrieben 5. März 2012 Autor Melden Teilen Geschrieben 5. März 2012 Hallo nochmals, hat keiner ne Idee oder ne kurze Erklärung für mich wie das mit dem Kerberos normal funktionieren sollte, wenn ich mich über VPN einlogge. Bekomme ich da überhaupt ein solches Ticket oder funktioniert die Autentifizierung dann über NTLM? Habe leider noch keine Beschreibung dazu gefunden. In dem Galileo Buch von Ulrich Boddenberg wird das zwar ganz gut erklärt und hab ich soweit auch verstanden, aber da steht ncihts über VPN. Im LAN funktioniert jetzt soweit alles, einen fehlenden SPN Eintrag von unserem alten Fileserver wurde jetzt auch ergänzt und ich erhalte die Kerberostickets. Aber nicht beim Aufbau einer VPN Verbindung. Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. März 2012 Melden Teilen Geschrieben 6. März 2012 Hallo, es wäre interessant zu wissen was du für eine VPN Infrastruktur hast. Wenn du zB einen ISA oder ein TMG hast musst du natürlich der VPN-Client IP erlauben, eine Kerberos Verbindung zum DC aufzubauen sprich den Port. Kerberos and Firewalls | Information Technology Services lg Zitieren Link zu diesem Kommentar
Kruemel38 10 Geschrieben 6. März 2012 Autor Melden Teilen Geschrieben 6. März 2012 Hallo Hr. Rossi, also wir haben eine Checkpoint Firewall und benutzen den Checkpoint Secure Remote Access Client für die VPN-Verbindung. Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. März 2012 Melden Teilen Geschrieben 6. März 2012 Hi Bei checkpoint bin ich überfragt ! Aber vielleicht hilft dir das: Checkpoint Software: Firewall-1 - Checkpoint VPN to Sonicwall kerberos failure lg Zitieren Link zu diesem Kommentar
Kruemel38 10 Geschrieben 6. März 2012 Autor Melden Teilen Geschrieben 6. März 2012 Danke für den Link. Aber das mit dem Parameter in der Registry hatten wir auf einem Laptop schon versucht. Ich erhalte über VPN kein Kerberosticket. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.