Blutiger Anfänger "Frage zu VPN-Verbindung"

[Hopkins 10]

Hallo! Ich habe da eine kurze Frage

 

Wo in einem Win2000 WTS kann ich einstellen, welcher User sich per VPN einwählen darf oder nicht. In der Active Directory habe ich bereits die Auswahl getroffen, aber die User haben trotzdem immer noch die Möglichkeit sich einzuwählen.

 

Hilfe! Ich verzweifel.

[ChristianHemker 10]

Was ist WTS?

Deine Lösung sollte bei RAS Richtlinien liegen.

[IThome 10]

Entscheidend ist, welche Funktionsebene Deine Domäne hat. Im gemischten Modus sind RAS-Richtlinien uninteressant, in den höheren Modi kannst Du dort gezielt den Zugriff steuern ...

[Operator 10]

@ChristianHemker: WTS wird wohl Windows Terminal Server sein.

 

Was möchtest Du denn bezwecken? Sollen die User direkt eine VPN mit dem WTS aufbauen? Oder hast Du einen VPN Server irgendwo in einer DMZ, der dann als "Sprungbrett" ins Netzwerk genutzt werden kann?

 

Wie hast Du die VPN Verbindung bislang eingerichtet? Welche Authentifizierung / Verschlüsselung?

 

Mit ein paar mehr Details können wir Dir sicherlich helfen.

 

Gruß

Andre

[IThome 10]

Ja stimmt, das ist ein bisschen mager. Du betreibst offensichtlich einen RRAS, der die Verbindungen entgegen nimmt. Allerdings schreibst Du nicht, auf welchem Gerät und wo die zu authentifizierenden Benutzer angelegt sind (lokal oder Domäne).

[Hopkins 10]

WTS = Windows Terminal Server = Ein Server auf den alle Nutzer zugreifen

 

VPN hab ich nicht eingerichtet, deshalb kann ich da gar nicht so genaue Aussagen zu machen. Aber ich beschreibe mal kurz, wie es meiner Ansicht nach alles funktioniert. Sofern es nicht reicht, sagt mir doch bitte Bescheid wo ich es finde.

 

Der Server hat eine IP die man über eine Remotedesktopverb. anwählt. Natürlich ist auf den Laptops ausserhalb des Netzes VPN eingerichtet. Nun wählt man den Server an und es erscheint die normale Einwahl-Prozedur wie bei einer Internen einwahl. Die Benutzer sind in der Active Directory. Dort habe ich auf eigentlich bei einigen Benutzern die VPN-Verbindung blockiert. Aber es funktioniert nicht.

 

Nun mehr weiss ich nicht. Jetzt seid Ihr wieder dran :shock:

[IThome 10]

Ich würde gerne wissen, welcher Server die VPN-Verbindungen entgegen nimmt, der TS, ein DC. Gibt es überhaupt mehrere Server ? Dann schaue mal in Active Directory Computer und Benutzer nach, welche Funktionsebene die Domäne hat (rechtsklick auf die Domäne , Domänenfunktionsebene heraufstufen). Wir sollten erstmal klären, welche Benutzer sich überhaupt via VPN wo einwählen, eventuell sind es lokal angelegte Benutzer auf dem RRAS und keine Domänenbenutzer.

[Operator 10]

Natürlich ist auf den Laptops ausserhalb des Netzes VPN eingerichtet./QUOTE]

Also klappt die Verbindung via VPN in die Zentrale schon mal, richtig?

 

Läuft auf der VPN-Einheit (ich nenn sie mal so) vielleicht eine Firewall, die genau reglementiert wer, wann, wohin darf? Evtl. muss noch Port 3389 zu den WTS freigegeben werden?

Checkpoint Firewall z.B. sind ja sehr beliebt als Firewall/VPN Combo.

 

Wenn die normale VPN Einwahl schon funktioniert und Mail oder was auch immer schon funktioniert, dann teste doch mal ein

telnet <ip-des-wts> 3389

auf der Kommandozeile von einem Einwahlclient aus (ohne spitze klammern).

 

Wenn das keinen Timeout gibt und ein Fenster mit einem blinkenden Cursor erscheint, ist der Port auf jeden Fall freigegeben und die Kommunikation erlaubt ansonsten muss die Kommunikation in der Firewall erlaubt werden.

 

Ich hoffe, daß Dir das weiterhilft.

 

Gruß

Andre

[IThome 10]

Hm, hab ich das jetzt falsch verstanden ? Ich dachte, es geht darum, dass sich Leute einwählen können, aber eigentlich gar nicht sollen ...

[Operator 10]

Vielleicht stehen wir auch einfach alle auf dem Schlauch ;)

Dann bitten wir den TO doch einfach nochmal ein paar Details einzuschleusen... das kommt halt dabei raus, wenn ein Problem nicht ganz klar ist.

Das ist kein Vorwurf. Wenn man nicht weiß wo das Problem ist, weiß man oft nicht wo man anfangen soll. Ich hoffe, daß das jetzt richtig ankommt :)

 

Gruß

Andre

[Hopkins 10]

Genau, IThome hat alles richtig verstanden. Es geht sich darum, dass sich Leute (Benutzer) einwählen können, die es aber nicht sollten.

 

Was heißt DC? Ich meine aber es ist der TS = Terminalserver!

 

Den Eintrag Domänenfunktionsebene heraufstufen habe ich nicht gefunden. Wo ist er?

 

Gibt es irgendwo eine Erläuterung zu VPN, wo man so etwas nachlesen kann?

 

Vielen Dank nochmal

[Hopkins 10]

Vielleicht auch einen Link :D

[IThome 10]

Dann erzähle doch einfach mal, was für Server Du hast, was darauf läuft und wenn es mehrere Server sind, was auf welchem Server läuft ...

[Hopkins 10]

1 Server = WTS = Win2000

1 Server = Kommunikationsserver (können wir aber ausser acht lassen)

[IThome 10]

Das bedeutet also, dass der RRAS auf dem WTS läuft ? Ist der WTS auch ein DC ? Datev ?