lepfa 10 Geschrieben 7. Juli 2006 Autor Melden Geschrieben 7. Juli 2006 Du wirst verweigert und bekommst keine Maske, um Anmeldedaten einzugeben ? nein, bekomme keine weitere Maske. bin verzweifelt :suspect: Zitieren
IThome 10 Geschrieben 7. Juli 2006 Melden Geschrieben 7. Juli 2006 Dann müsstest Du in der Sicherheitsereignisanzeige die Verweigerungen sehen können, was steht dort ... Du kannst das auch erstmal intern probieren. Melde Dich an einem Arbeitsplatz mit einem anderen Benutzer als dem VPN-Benutzer an. Trenne mit net use * /d und net session /d alle Verbindungen und erzeuge Dir dann eine VPN-Verbindung, in der Du "Windows-Anmeldedomäne..." aktivierst und als Benutzer den VPN-Benutzer angibst. Verbinde Dich dann mit dem Server und schaue auf dem Server mit FSMGMT.MSC unter Sitzungen nach, ob der VPN-User eine Verbindung hergestellt hat (obwohl lokal ein anderer Benutzer angemeldet ist) ... Bei erfolgreicher Anmeldung müsstest Du den VPN-User aber auch in dem Sicherheitslog des Servers sehen. Kann denn der VPN-User, wenn Du Dich an einer lokalen Maschine mit diesem Namen anmeldest, auf den Server zugreifen ? Wenn er sich noch via VPN verbinden kann und er sofort verweigert wird, wenn er auf den Server zugreift (er kann die Freigaben noch nicht mal sehen), dann kommt er wohl mit einem Konto bei dem Server an, dem durch ein Benutzerrecht generell der Zugriff verboten wurde ... Zitieren
lepfa 10 Geschrieben 7. Juli 2006 Autor Melden Geschrieben 7. Juli 2006 Dann müsstest Du in der Sicherheitsereignisanzeige die Verweigerungen sehen können, was steht dort ...Du kannst das auch erstmal intern probieren. Melde Dich an einem Arbeitsplatz mit einem anderen Benutzer als dem VPN-Benutzer an. Trenne mit net use * /d und net session /d alle Verbindungen und erzeuge Dir dann eine VPN-Verbindung, in der Du "Windows-Anmeldedomäne..." aktivierst und als Benutzer den VPN-Benutzer angibst. Verbinde Dich dann mit dem Server und schaue auf dem Server mit FSMGMT.MSC unter Sitzungen nach, ob der VPN-User eine Verbindung hergestellt hat (obwohl lokal ein anderer Benutzer angemeldet ist) ... das kann ich erst probieren, wenn mal ein Arbeitspatz frei ist. Bis dahin habe ich chon mal das Eventlog durchsucht und bin auf folgende Meldung gestoßen. Quelle: IAS EreignisID: 5052 Für die Domäne 123-456 ist kein Domäncontroller verfügbar. Hat das ewtas mit dem Anmeldproblem zu tun???? gruß lepfa Zitieren
IThome 10 Geschrieben 7. Juli 2006 Melden Geschrieben 7. Juli 2006 Ja durchaus, kann er nicht authentifiziert werden, kommt er auch nicht mit diesem Konto. Ich sehe gerade, Du benutzt zur Authentifizierung der VPN-User RADIUS ? Lösch doch einfach mal die Sicherheitsereignisanzeige (vorher speichern, wenn nötig) und verbinde Dich via VPN, greife dann auf den Server zu und poste dann die relevanten Meldungen ... Zitieren
lepfa 10 Geschrieben 7. Juli 2006 Autor Melden Geschrieben 7. Juli 2006 Ich habe für den VPN Benutzer 3 Einträge 1. Ereigniskennung 680 2. Ereigniskennung 540 3. Ereigniskennung 538 Aber eine Ablehnung kann ich nirgends finden .. Zitieren
IThome 10 Geschrieben 7. Juli 2006 Melden Geschrieben 7. Juli 2006 Auf welchen Server greift er denn zu ? Auf den , auf dem auch der RRAS installiert ist ? Zitieren
lepfa 10 Geschrieben 7. Juli 2006 Autor Melden Geschrieben 7. Juli 2006 Ja der RRAS Server ist der Server auf dem auch die Shares liegen .. Zitieren
IThome 10 Geschrieben 7. Juli 2006 Melden Geschrieben 7. Juli 2006 Was hast Du denn bis jetzt alles probiert ? Lokale Verbindung mit dem VPN-User ? Lokale Anmeldung des VPN-Users an einem Rechner der Domäne ? Ist auf jeden Fall eine sehr ungewöhnliche Sache, dass Du nicht einmal eine Anmeldeaufforderung von einem Server bekommst und sofort verweigert wirst ... Zitieren
lepfa 10 Geschrieben 10. Juli 2006 Autor Melden Geschrieben 10. Juli 2006 Mahlzeit :) ich gebe auf. Werde die VPN Verbindung mittels CMAK erstellter *.exe installieren lassen und dann müssen eben 2 kleine Batchdateien für das mappen und deleten der Shares ausgeführt werden. Ist zwar ncht ganz so wie ich das wollte (wegen umständlich) aber so geht es erst einmal. Thx an alle .. gruß lepfa Was hast Du denn bis jetzt alles probiert ? lokale Anmeldung des Users an die Domäne funktioniert .. auch die Einwahl und das mappen der Shares nur wenn ich extern mit VPN connecte und dann die Shares mappen möchte "Access denied" Zitieren
IThome 10 Geschrieben 10. Juli 2006 Melden Geschrieben 10. Juli 2006 Hm, Filter, Firewall ?! Ist leider so schwer zu sagen, da man die Konfiguration nicht sehen kann , aber Du hast ja zum Glück einen Workaround ... Zitieren
lepfa 10 Geschrieben 10. Juli 2006 Autor Melden Geschrieben 10. Juli 2006 der VPN User ist AD integriert in einer eigene OU; ohne das ich an den GPO's etwas geändert habe. Dazu ist er Mitglied der Primären Gruppe der Domänen-Benutzer und der Sicherheitsgruppe der VPN User (Global). Die Einwahl erfolgt über das PPTP mit Authentifizierungsmethode MS-Chap V2 .. starke Verschlüsselung. RAS Richtlinien gibt es keine außer das das Konto Einwahlberechtigungen hat. Die Freigabeberechtigung auf dem Share ist mittels der Gruppe der VPN User realisiert. Dadurch das der VPN User Mitglied der Gruppe der VPN User ist. Und diese Gruppe ist im Moment auch Mitglied der Domänen-Benutzer. Eine Fehlermeldung seitens IAS ist auch nicht mehr existent (konnte die Fehlermeldung beheben) .. RADIUS wüßte ich nicht eingestellt zu haben ;) Nach erfolgreicher VPN Verbindung und Benutzung der Batch zum mappen des Share's, erhalte die die nur allzu vertraute Fehlermeldung "access denied" aber ich kann im Eventlog nichts darüber fnden! Außer das ich den Computernamen finde an dem ich gerade arbeite, der die VPN Verbindung zum Server aufbaut und ein NON Domänenmitglied ist. Hoffnung habe ich ja immer noch es komfortabel zu gestalten :wink2: Zitieren
IThome 10 Geschrieben 10. Juli 2006 Melden Geschrieben 10. Juli 2006 Wenn Du das alles lokal machst (die VPN-Verbindung, am besten von einem Nicht-Mitglied), vorher alle Verbindungen getrennt hast und dann erfolgreich die Verbindung herstellst, sollte auf dem Server unter Sitzungen der VPN-User stehen und nicht der lokal angemeldete. Was mich verwundert ist, dass er sofort abgewiesen wird, wenn er von aussen kommt ... Zitieren
lepfa 10 Geschrieben 19. Juli 2006 Autor Melden Geschrieben 19. Juli 2006 Hallo IThome .. hat etwas gedauert bis ich es testen konnte. Die Einwahl von einem nonDomänenMitglied funktionierte genauso wenig. Habe daraufhin im AD die neu ertellten Konten für die Benutzer überprüft (mehrmals) bis ich darauf gestoßen bin, daß der Benutzeranmeldename nicht identisch mit dem pre2000 Namen gewesen ist. Habe es angepaßt und seit dem funktioniert alles so wie Du es beschrieben hast. Problem lag also bei mir zwischen den Kopfhörern :o .. ich kann zwar nicht erklären warum da Unterschiede entstanden sind .. aber jetzt funzt es endlich .. mit CMAK neues Profil erstellt und die *.bat Dateien mit eingefügt .. großes Danke :) Zitieren
IThome 10 Geschrieben 19. Juli 2006 Melden Geschrieben 19. Juli 2006 Schön, den Fehler hast Du auch selbst gefunden (ehrlich gesagt wäre ich da auch nie drauf gekommen) und alles funktioniert , wie es soll ... :) Zitieren
lepfa 10 Geschrieben 19. Juli 2006 Autor Melden Geschrieben 19. Juli 2006 ich glaube, wenn Du nicht immer nachgefragt hättest wäre Verdruß eingekehrt und ich hätte es so belassen :/ so war ich ja "gezwungen" alles immer und immer wieder zu überprüfen Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.