Gruppenrichtlinien per VPN-Verbindung verbieten

[WileC 10]

Hallo,

 

ich habe zwei Netzwerke per VPN (Router <-> Router) miteinander verbunden. Beide Netzwerke können auch problemlos miteinander kommunizieren, Routen und DNS klappt alles problemlos. Im Netzwerk1 läuft eine Domäne, im Netzwerk2 nicht, lediglich DHCP und DNS.

 

Wenn sich ein Laptop im Netzwerk1 (Domänennetzwerk) befindet, zieht er sich ganz normal die GPOs und GPPs, das passt ja soweit und soll er auch. Aber wenn sich der Laptop in Netzwerk2 befindet, soll sich der Laptop sich nicht an der Domäne über VPN verbinden und somit auch nicht die GPOs und GPPs beim Computerstart und der Anmeldung ziehen, sondern sich lediglich "lokal" starten und anmelden (sonst dauert das mit dem Starten und anmelden ewig).

 

Kann ich das irgendwie am Laptop einstellen? am DC, dass er nur "interne" Verbindungen zulässt? Oder muss ich das am DNS des Netzwerk2 einstellen, dass srv-Anfragen oder ldap-Anfragen geblock werden?

 

Danke schonmal.

[NorbertFe 2.089]

Am Client kannst du nichts einstellen und am dc auch nicht. Bleibt also nur Netzwerk dazwischen. ;) aber warum willst du das überhaupt machen?

[WileC 10]

Zitat

starten und anmelden (sonst dauert das mit dem Starten und anmelden ewig)

Deswegen: weil ich mich zwar am Netzwerk2 ins Internet hängen möchte, aber keine Domänenanmeldung wegen der Übertragungsdauer möchte ...

 

Was sind den die betreffenden DNS-Einträge bezüglich des AD?

[NorbertFe 2.089]

Meine domänenanmeldung dauert nicht lange. Vielleicht solltest du ja dort anfangen zu suchen. ;)

[WileC 10]

Das freut mich für Dich.

 

Ich möchte aber keine Domänenanmeldung über VPN.

[NorbertFe 2.089]

Das is dann halt b***d für dich. Du solltest dann dafür sorgen, dass der Client nicht der Meinung ist den dc zu erreichen. 

[testperson 1.728]

OT: Ich verstehe es nicht, warum es in der IT so beliebt ist, mit irgendwelchen Würgarounds Probleme immer wieder / weiter zu umschiffen bis einem alles auf die Füße fällt...

 

Und dazu

vor 27 Minuten schrieb WileC:

Ich möchte aber keine Domänenanmeldung über VPN.

fällt mir nur

Zitat

Ich esse keine Suppe! Nein! Ich esse meine Suppe nicht! Nein, meine Suppe ess’ ich nicht!

ein. ;) SCNR

[Sunny61 809]

vor 2 Stunden schrieb WileC:

Wenn sich ein Laptop im Netzwerk1 (Domänennetzwerk) befindet, zieht er sich ganz normal die GPOs und GPPs, das passt ja soweit und soll er auch. Aber wenn sich der Laptop in Netzwerk2 befindet, soll sich der Laptop sich nicht an der Domäne über VPN verbinden und somit auch nicht die GPOs und GPPs beim Computerstart und der Anmeldung ziehen, sondern sich lediglich "lokal" starten und anmelden (sonst dauert das mit dem Starten und anmelden ewig).

Dann sollen sich die User eben *ohne* Netzwerkverbindung am Client anmelden. Das kann man ihnen schon beibringen. Wenn sie es nicht schaffen, dann müssen sie mit den Verzögerungen leben.

 

Innerhalb den GPPs kannst Du mittels Item Level Targeting die IP-Adressen definieren, die eine Abarbeitung zulassen. Alle anderen nicht.

[WileC 10]

Ich werde es mal versuchen, indem ich den SRV-Record DNS-seitig ins leere laufen lasse, so dass dieser nicht übers VPN geroutet wird.

[Sunny61 809]

vor 28 Minuten schrieb WileC:

Ich werde es mal versuchen, indem ich den SRV-Record DNS-seitig ins leere laufen lasse, so dass dieser nicht übers VPN geroutet wird.

Warum muss man solche Krücken bauen? Lass es doch einfach sein, irgendwann fällt dir dieses Gebastel ganz gewaltig auf die Füsse.

[daabm 1.366]

Ich bin bei Jan: Nein, ich esse meine Suppe nicht. Ich verstehe das Problem nicht, mir ist unklar was erreicht werden soll und warum...

[Damian 1.584]

Hallo zusammen

 

Der TO verfolgt ein Ziel, das anscheinend niemand sonst hier unterstützen kann oder will. Die Argumente sind ausgetauscht, also belassen wir es einfach dabei und üben uns in Gelassenheit.

Zitate aus klassischen Kinderbüchern sind als Lösungsvorschläge eher ungeeignet.

[WileC 10]

Also: Grundsätzlich sollen die Clients ins Internet können, beim Systemstart aber nicht die Gruppenrichtlinien übers VPN ziehen. Grund ist einfach: 1. ich möchte es einfach nicht, 2. die Gruppenrichtlinien dauern einfach auf Grund der langsamen Internetverbindung (1Mbit) einfach lange, bis die GPO/GPP gezogen sind. Deswegen möchte ich es einfach unterbinden.

 

Derzeit habe ich die die SRV-Einträge der Domäne im "entfernten" DNS geblockt, so dass die Domänen-clients im entfernten Netz den DC nicht auflösen können. Einen ausgiebigen Test werde ich nachreichen.

[NorbertFe 2.089]

vor 32 Minuten schrieb WileC:

1. ich möchte es einfach nicht, 2. die Gruppenrichtlinien dauern einfach auf Grund der langsamen Internetverbindung (1Mbit) einfach lange, bis die GPO/GPP gezogen sind. Deswegen möchte ich es einfach unterbinden.

Grund 1 ist BS und Grund 2 könnte man mittels Slow Link Detection ja erschlagen würde ich sagen. Deine Lösung ist jedenfalls mehr humpelnd als sinnvoll.

[WileC 10]

So, ich habe für mich die Lösung gefunden, ohne an jeder einzelnen GPO/GPP Änderungen vornehmen zu müssen: ich habe die entsprechenden DNS-Records des AD im "entfernten" DNS geblockt.

 

Beispiel an der dnsmasq.conf

#Block ActiveDirectory (domain)
address=/_msdcs.domain.lan/_tcp.domain.lan/_udp.domain.lan/127.0.0.1

Damit fahren die AD-Laptops hoch und ziehen sich die Computer- und Benutzerrichtlinien NICHT. Alle anderen DNS-Anfragen bzgl. "domain.lan" werden über das VPN weiterhin geroutet. Auch das ist so gewollt.

 

bearbeitet 12. Juni 2019 von WileC
Nachtrag