Reingucker 3 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 (bearbeitet) Jo, der ist glaub klar: Gibt kein User "test" in der Dom dev.domain.de. Also dürfte es mit gleichlautenden Usern dann so sein, dass die sich mit TMG\User an die Dom wenden. In dem Trace steht dann zwar drin dass es der User soundso ist, es steht aber nicht drin dass es der TMG\User-soundso ist. Ist ja nur "cname" ersichtlich. Und damit hat die Dom recht wenn sie sagt: Hö? TMG\User? Geh weg! Edit: Alle Verbindungen aus dem VPN raus laufen also unter dem TMG\User. bearbeitet 3. Februar 2015 von Reingucker Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Das alte Dilemma multipler Authentifizierung: "Wer bin ich?" :D Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 Ja das ist wirklich doof, zumal ich nicht damit gerechnet hätte, dass die VPN Authentifizierung als "Angemeldete Sitzung" gehandelt wird. Aufgefallen ist mir dass, als ich zum test (bei einem anderem Hintergrund) in dem Windows Anmeldeschirm eine VPN Anmeldung durchführen wollte. Hier werden die Anmeldedaten für das VPN sowie für Windows verwendet. Was kann ich nun tun, mir ist grad noch nicht klar, wie ich das Problem bzw. ob ich das Problem umgehen kann?! Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Den NPS in die Domäne nehmen... Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Soweit ich es noch im Kopf habe was ich heute Mittag gelesen habe gibt es verschiedene Szenarios: 1. Dein TMG so wie er ist plus ein zweiter TMG der hintendran und in der Dom ist und damit den aus dem vpn kommenden User an der Dom anmelden lassen kann fürs interne Netz. 2. Dein TMG in die Dom rein und die vpn-anmeldung an die Dom durchreichen womit der User im vpn dann als Dom-User authentifiziert und authorisiert wäre (nennt sich glaube Edge-TMG oder so) Und noch ne dritte Variante die mir aber grad nicht mehr einfällt. Ich such nochmal wo die Seite war. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 (bearbeitet) Du meinst die TMG mit dem RAS Dienst und die VPN Benutzer im AD pflegen? Edit: ahh zu langsam ... :) Ich meine das die TMG auch gegen RADIUS die VPN Benutzer authentifizieren kann. Gegeben falls wäre das eine Lösung noch für uns, einen NPS mit Radius Clients ist im internen Netz bereits im Einsatz. bearbeitet 3. Februar 2015 von Beetlejuice Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 (bearbeitet) Ja, Radius wäre auch ne Möglichkeit. Vom Gefühl her würde ich sagen klingt gut. Und so wie daabm schreibt den NPS gleich auch mit NAP. Edit: Aber muss der TMG dann nicht auch Radiusclient und im AD sein? Edit2: Ah,ne, passt so If you decide that Forefront TMG shouldn’t be a member of an Active Directory domain and you want to create Firewall rules based on Active Directory group membership, the only option you have is to use LDAP or RADIUS. With the help of LDAP or RADIUS, Forefront TMG 2010 can be used to authenticate users against Active Directory. http://www.isaserver.org/articles-tutorials/configuration-general/Microsoft-Forefront-TMG-Using-LDAP-RADIUS-Authentication.html bearbeitet 3. Februar 2015 von Reingucker Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 http://www.isaserver.org/articles-tutorials/general/Configuring-Forefront-TMG-client-VPN-access-NAP.html Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Ah, das ist natürlich die supercoole all in one Anleitung :jau: Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 4. Februar 2015 Autor Melden Teilen Geschrieben 4. Februar 2015 Kennt Ihr ein Dokument aus Technet oder so oder generell von Microsoft, was dieses Verhalten beschreibt. Also das eine VPN-Verbindung als Windows Benutzeranmeldung gilt/zählt? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 4. Februar 2015 Melden Teilen Geschrieben 4. Februar 2015 Ich weiß, daß das "früher" im rasphone.pbk auch schon so war: Da gab es einen Parameter "useRasCredentials"; wenn der nicht explizit auf 0 gesetzt wurde, war der User mit der RAS-Anmeldung in der Domäne unterwegs... Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 4. Februar 2015 Melden Teilen Geschrieben 4. Februar 2015 Ich stell mir dass so vor dass man da, wo man sich anmeldet, als User existiert. Wobei der Ort, an dem der Anmeldevorgang, das Eintippen der Credentials, statt findet, völlig egal ist. Melde ich mich im AD an, bin ich im AD. Melde ich mich lokal an, bin ich lokal. Und melde ich mich über VPN an einem VPN-Server an, bin ich auf dem VPN-Server. Ist irgendwie immer noch wie damals. Die Logon-User von heute sind die modernere Version der "dumb Terminals" von damals. Zitieren Link zu diesem Kommentar
Beetlejuice 11 Geschrieben 4. Februar 2015 Autor Melden Teilen Geschrieben 4. Februar 2015 Wie soll dann Windows beide credentials (ad und vpn) handhaben? Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen. Wie will Windows das handhaben, ich meine mich erinnern zu können, dass nur einen Satz an angemeldete Daten gibt. Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 4. Februar 2015 Melden Teilen Geschrieben 4. Februar 2015 (bearbeitet) Ist es nicht das Gleiche wie wenn man sich am AD anmeldet, aber dann unter einem anderen Namen auf eine Freigabe zugreift? Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen. Hm, ja, interessant. Vielleicht steht da "Jeder" drin oder es ist wegen den gleichlautenden Namen, den "Cname". Was dann allerdings eine heftige Sicherheitslücke wäre. Vielleicht checked Kerberos erst nicht ob der User in der eigenen Domäne ist, sondern nur auf den Namen. Und wenns den Namen gibt, dann wird nachgeprüft ob es auch die richtige Domäne ist. Und wenns den Namen nicht gibt, dann wird auch erst dann geprüft welche Domäne es ist - könnte ja noch eine Vertrauensstellung sein. Und beim Serviceticket/AccessToken zählt nur ob Kerberos den Namen bestätigen kann? Neee, das wäre doch zu heftig. Dann steht hoffentlich doch "Jeder" drin :rolleyes: Edit2: Tja, ich brauch einen Rechner in einer Arbeitsgruppe, etwas social engineering um einen gültigen Anmeldenamen zu bekommen, ein Programm das Passwörter generiert und Zugang Zum LAN. Und der Acc dürfte noch nicht mal gesperrt werden im AD weil ich es ja gegen Freigaben probieren würde. Kann doch nicht wahr sein! Oder überseh ich hier was? Edit2: Puuhh, es geht nicht. @Beetlejuice Client: hans.wurst @ DEV.DOMAIN.DE Damit warst du auf dem VPN-Client an der Dom angemeldet. Müsste man noch wissen wie genau dein Versuchsaufbau/Netz ect. aussah. Edit last: Jo, TGT. Aber das würde ja heißen dass nur noch der Client und der KDC über das VPN kommunizieren, ja der Client selbstständig auch den UPN der vorhergehenden Dom-Anmeldung schicken würde, und der VPN-User selbst für die TGS egal wäre - Hauptsache VPN-Verbindung steht und auf dem VPN-Client wurde sich vorher an der Dom angemeldet. Aber dann verstehe ich die Fehlermeldung beim Zugriff aufs Netlogon nicht. Ich muss ein VPN aufbauen zum testen... bearbeitet 4. Februar 2015 von Reingucker Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 4. Februar 2015 Melden Teilen Geschrieben 4. Februar 2015 Du hast EINE Identität. Wer Du bist, entscheidet die Anmeldeinstanz, die diese Identität bestätigt. Fertich... Wenn das der TMG macht, dann bist Du halt Standalone-User. Wenn es ein DC macht (und Dir dann noch freundlicherweise ein TGT ausstellt), dann bist Du Domänenbenutzer. Der TMG muß in die Domäne, dann hat die liebe Seel' eine Ruhe :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.