WileC 10 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 Hallo, ich habe eine Filiale per VPN an ein Domänennetzwerk angebunden (Router/Router), welche sich aber nicht in der Domäne befinden. Nun möchte ich den Domänen-Laptops verbieten, sich über die bestehende VPN-Verbindung am DC der Domäne anzumelden, da diese ja grundsätzlich erreichbar ist. Blocke ich die Anfragen aus dem entfernten Netz (IP-Bereich) in der Firewall des DC, oder blocke ich die DNS-Anfragen auf dem DNS des entferneten Netzwerk? Ich möchte einfach nicht, dass sich die Laptops (wenn sie ausgeliehen werden) eine Domänenanmeldung "außer Haus" durchführen. Vielen Dank. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 Und warum? Was geht denn durch das vpn durch? Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 12. Januar 2020 Autor Melden Teilen Geschrieben 12. Januar 2020 Weils eine total langsame und getaktete Verbindung ist und ein komplettes Ziehen der GPOs/GPPs nicht notwendig macht. Die VPN-Verbindung besteht, damit man die entfernten PCs per RDP administrieren kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 Dafür gibts ja die Slow link detection ;) https://www.gruppenrichtlinien.de/artikel/slow-link-detection-erkennung-langsamer-verbindungen/ Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 12. Januar 2020 Autor Melden Teilen Geschrieben 12. Januar 2020 Habs mir durchgelesen, möchte es aber nicht einem Algorithmus überlassen, ob die Verbindung langsam ist, sondern selbst aus eigener Hand verbieten oder freigeben. Weil sollte mal die verbindung schnell sein oder schneller werden dank LTE, würde trotzdem unnötig das Datenvolumen durch die AD-Anmeldung benötigt werden. Das möchte ich eben vermeiden. Ansonsten denke ich, dass die GPO allgemein schon Sinn machen würde. Dennoch würde ich lieber per Firewall den Zugriff für die AD-Meldung blocken, oder eben die DNS-Einträge wie _tcp... _upd... _sites... _msdcs... blocken. Stellt sich eben nur die Frage, ob DNS-Blocking oder die Firewall dicht machen... Welche Dienste in der Firewall wären das, die für die AD-Anmeldung zuständig wären? dann würde ich die AD-Anmeldung im "Bereich" auf das "lokale Subnetz" restriktieren... Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 Hi, warum denn überhaupt der Tunnel? Lass den Tunnel weg und administriere remote z.B. per Teamviewer o.ä. Gruß Jan Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 12. Januar 2020 Autor Melden Teilen Geschrieben 12. Januar 2020 Das ist leider keine Option. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 (bearbeitet) Dann mach den Tunnel zu, so dass nur rdp durchkommt. So schwer ist das nicht ;) bearbeitet 12. Januar 2020 von NorbertFe 1 Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.930 Geschrieben 12. Januar 2020 Beste Lösung Melden Teilen Geschrieben 12. Januar 2020 Moin, du solltest immer das eigentliche Ziel im Auge behalten. Wenn du nicht willst, dass das VPN für andere Zwecke als Remote-Administration genutzt wird, dann setze etwas um, das dies auch erreicht. Die Domänen-Anmeldung einzuschränken, hilft dann nicht. Mit Cached Credentials könnte man von einem "Leih-Notebook" trotzdem Ressourcen aus der Zentrale verwenden, die das WAN weit mehr auslasten als ein paar GPOs. Denk etwa an Gigabyte-Dateien von einem Fileshare. Für die Anforderung scheint mir Norberts Vorschlag besser zu passen. Ergänzen könnte man das noch um eine Begrenzung der zugelassenen IP-Adressen. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Januar 2020 Melden Teilen Geschrieben 12. Januar 2020 Moin Müssen die Laptops denn wirklich Member der Domäne sein? Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 12. Januar 2020 Autor Melden Teilen Geschrieben 12. Januar 2020 vor 3 Minuten schrieb lefg: Moin Müssen die Laptops denn wirklich Member der Domäne sein? Ja. Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 25. Januar 2020 Autor Melden Teilen Geschrieben 25. Januar 2020 Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert: 1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts. 2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld" mal sehen, welche variante sich als besser für mein Vorhaben eignet. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 Was sprach jetzt dagegen, einfach den Tunnel zu schließen? Eh ich an der Stelle die du beschreibst rumbastele, wärs wohl einfacher, das global zu regeln. Zitieren Link zu diesem Kommentar
WileC 10 Geschrieben 26. Januar 2020 Autor Melden Teilen Geschrieben 26. Januar 2020 mit ner GPO für Firewall-Regeln ist das ganze auch global geregelt. Ein Eingriff in die Config-Datei des Tunnels, um aus einem "allow any", ein "deny all" mit "allow ip any 3306" zu machen wäre auch nicht weniger oder mehr gewesen. Für mich ist die oben beschriebene Lösung einfacher nachvollziebar, auch für andere. Und wenn mans nicht mehr benötigt, kann einfach die GPO deaktiviert oder entfernt werden... Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 26. Januar 2020 Melden Teilen Geschrieben 26. Januar 2020 Doch eine Stelle (nämlich vpn/Firewall) gegen clientseitige Umsetzung. Ist ein großer Unterschied. Aber jeder wie er mag. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.