Beetlejuice 11 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Hi zusammen, wir möchten gerne die Lokalen Benutzer und Gruppen remote verwalten. Wir setzten auf allen Rechner Windows 7 SP1 ein. In unserem internen Firmennetzwerk (unterschiedliche Subnetze), kann ich remote über die mmc "Computerverwaltung" die Benutzer und Gruppen verwalten. Wir haben auch Mitarbeiter, die extern sind und sich via VPN (Windows Client) einwählen. Genau bei diesen Rechnern habe ich das Problem. Ich kann zwar auf die "Computerverwaltung" zugreifen aber die lokale Benutzer und Gruppen kann ich NICHT verwalten. Ich habe schon etliches versucht, lokale Win7 Firewall an/aus, bestehende Regeln anpassen, neue Regeln, loakle und server Firewall logs auswerten... Habt ihr noch eine Idee wie das zu realisieren wäre? cu Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 wir möchten gerne die Lokalen Benutzer und Gruppen remote verwalten. Wir setzten auf allen Rechner Windows 7 SP1 ein. Welches Betriebssystem habt ihr *jetzt* im Einsatz? In unserem internen Firmennetzwerk (unterschiedliche Subnetze), kann ich remote über die mmc "Computerverwaltung" die Benutzer und Gruppen verwalten. Wir haben auch Mitarbeiter, die extern sind und sich via VPN (Windows Client) einwählen. Genau bei diesen Rechnern habe ich das Problem. Ich kann zwar auf die "Computerverwaltung" zugreifen aber die lokale Benutzer und Gruppen kann ich NICHT verwalten. Das macht man am besten über Group Poliys bzw. über Group Policy Preferences. Welche *genaue* Fehlermeldung bekommst Du denn wenn Du über die 'Computerverwaltung' *NICHT* zugreifen kannst? Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 21. August 2014 Autor Melden Teilen Geschrieben 21. August 2014 Hi, Welches Betriebssystem habt ihr *jetzt* im Einsatz? - Windows 7 Professional SP 1 - DE/EN Welche *genaue* Fehlermeldung bekommst Du denn wenn Du über die 'Computerverwaltung' *NICHT* zugreifen kannst? - Unable ot access the computer 192.168.248.12. The error was:The RPC server is unavailable. Wenn ich mich aber ohne VPN auf den Rechner hänge tut es das. IP-Adresse: Quell - 172.16.0.200/24 Ziel - 172.16.10.12/24 Ziel-VPN - 192.168.248.12/24 Das macht man am besten über Group Poliys bzw. über Group Policy Preferences. Ich weiß, wollen aber für die paar Rechner keine GPO anlegen und die Benutzer einzeln verwalten. cu Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Eventuell filtert das VPN-Gateway ein paar Ports oder Protokolle. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 - Unable ot access the computer 192.168.248.12. The error was:The RPC server is unavailable. Kannst Du den Rechner über VPN denn pingen? Oder auf etwas anderes zugreifen? Welchen Status hat die NW-Verbindung zu dem Zeitpunkt? Öffentliches oder Domänen Netzwerk? Das ist für die Firewall ausschlaggebend. Wenn ich mich aber ohne VPN auf den Rechner hänge tut es das. Dann erkennt der Client ja auch ein Domänen Netzwerk und lädt das passende Profil der Firewall. Ich weiß, wollen aber für die paar Rechner keine GPO anlegen und die Benutzer einzeln verwalten. Ab wieviel Clients 'rechnet' sich denn für euch ein GPO? Ab 3 Rechner möchte ich nicht mehr Turnschuh Admin sein, genau dafür wurden die GPOs und GPPs geschaffen. Nutze das Werkzeug. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 21. August 2014 Autor Melden Teilen Geschrieben 21. August 2014 Hi, ja ich kann den Rechner pingen, RDP Zugriff geht, SMB und den rest der Computerverwaltung sehe ich ja auch. Wir machen auch die Remote-Unterstützung (Windows Remote Assistance) über VPN . Ich vermute auch, da es was mit dem Adpater VPN zu tun hat. Da selbst bei Firewall aus oder alles erlauben es nicht funktioniert. Naja, es ist aktuell nur ein Rechner, könnten aber mehr (bis zu 5) werden, die eventuell eingriff in die loakle benutezrverwaltung bräuchten. Sei es nur um temporär einen Benutzer anzulegen und später wieder zu entfernen, bzw. deaktivieren. Das über GPO abzuwandeln ist doof, wenn die leute nicht immer im Netz hängen und hauptsächlich, ca 90% der Zeit VPN nutzen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 ja ich kann den Rechner pingen, RDP Zugriff geht, SMB und den rest der Computerverwaltung sehe ich ja auch. Wir machen auch die Remote-Unterstützung (Windows Remote Assistance) über VPN . Ich vermute auch, da es was mit dem Adpater VPN zu tun hat. Da selbst bei Firewall aus oder alles erlauben es nicht funktioniert. Wichtig ist das geladene Firewallprofil zu diesem Zeitpunkt. Welcher AV-Scanner *genau* ist installiert? Beachte auch den Hinweis von zahni. Naja, es ist aktuell nur ein Rechner, könnten aber mehr (bis zu 5) werden, die eventuell eingriff in die loakle benutezrverwaltung bräuchten. Sei es nur um temporär einen Benutzer anzulegen und später wieder zu entfernen, bzw. deaktivieren. Das über GPO abzuwandeln ist doof, wenn die leute nicht immer im Netz hängen und hauptsächlich, ca 90% der Zeit VPN nutzen. Natürlich funktionieren die GPOs/GPPs auch über VPN. Einfach einrichten und testen. In einem früheren Job hatten wir bis zu 70 MA die nur via VPN Verbindung aufgenommen hatten, sogar damals (2009) hat das alles über GPO/GPP funktioniert. Das was Du evtl. machen mußt, ist ein gpupdate nach dem Verbindungsaufbau absetzen. Aber das lässt sich sicherlich mit der uns unbekannten Art und Weise des VPN-Aufbau regeln. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 21. August 2014 Autor Melden Teilen Geschrieben 21. August 2014 Hi, das VPN gateway ist eine ISA 2006 und dort habe ich schon zu testzwecken eine any/any regel eingebaut. Als AV wird Smantec verwendet, jdeoch ohne Firewall. Firewall ist die Windows eigene und das Firewall Profil habe ich berücksichtigt. Wie gesagt auch eine any/any auf Windows Firewall hat nicht geholfen. Natürlich funktionieren die GPOs/GPPs auch über VPN. Einfach einrichten und testen. Ich habe nicht behauptet, das diese nich über VPN funktionieren. Es geht dabei eher um die aktualiserung der GPO. Einige Werte werden aber auch nur bei einer Anmeldung gesetzt. Wie auch immer, die frage die sich mir stellt ist eher warum mir Windows da einen strich durch die Rechnung macht. cu Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 das VPN gateway ist eine ISA 2006 und dort habe ich schon zu testzwecken eine any/any regel eingebaut. Was sagt das Log vom ISA? Ich habe nicht behauptet, das diese nich über VPN funktionieren. Es geht dabei eher um die aktualiserung der GPO. Einige Werte werden aber auch nur bei einer Anmeldung gesetzt. Das meiste geht mit einem gpupdate ab, notfalls auch gpupdate /force. Wie auch immer, die frage die sich mir stellt ist eher warum mir Windows da einen strich durch die Rechnung macht. Windows Eventlog schreibt welche Events zu diesem Zeitpunkt? Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Hallo Beeejuice, ISA 2006 also. Eine Any/any-Regel wird da evtl. nicht ausreichen. Schau Dir mal diesen Link an: http://stackoverflow.com/questions/8620343/how-to-make-a-remote-wmi-calls-to-a-machine-with-isa-server-2006-running Und hier noch der Link zum MS KB-Artikel: http://support.microsoft.com/kb/887222 Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 22. August 2014 Autor Melden Teilen Geschrieben 22. August 2014 Hi und danke für die Antworten. Ich habe das mal geprüft, den Filter für die Regel deaktiviert und ausprobiert. Leider ohne erfolg. Da ich ja auch ohne VPN in den anderen Netzen keine Probleme habe, denke ich nicht, das es an der ISA liegt. Zumal es auch die gleich Regel ist. Die Logs geben auch nicht mehr auskunft. Die Pakete werden initiert (0x0 Error_Success) und später getrennt (Graceful_Shutdown). Nur bei vereinzelten Verbindungen (SMB, RPC und Dynamische Ports) wird die Verbindung verworfen (Abortive_Shutdown). Ich denk das liegt aber eher daran, dass der Client darauf keine Antwort gibt. Da kann ich aber an der ISA nichts weiter machen. Ist da was bekannt, wie Windows 7 die VPN Verbindungen behandelt, sodass nicht alle RPC anfragen (DCOM usw.) nicht über dynamische Netzwerkadapter wie VPN's geleitet werden. Das Windows hier mir einen strich durch die Rechnung macht? Irgendeins der unzähligen Sicherheitsfeatures die Remote Aktionen verhinden? cu und danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.