Jump to content

Beetlejuice

Members
  • Gesamte Inhalte

    233
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Beetlejuice

  1. Ja du hast recht und vorerst werden wir das so noch nutzen. Mit dem Extended Support gibt es noch 5 Jahre support und wir haben vor in Jahren eine neue Lösung einzuführen, wo jetzt auch schon gesucht und getestet wird. So ein System wechselt man leider nich von heut auf morgen und wir haben viele Spezielle Anforderungen die wir mit der TMG gut abbilden konnten. Dies auf andere Systeme umzustellen würde ein erheblichen mehraufwand und Wartung betragen. Ich wünsch euch viel Erfolg bei der Umstellung ;). Auf was geht ihr jetzt und wie sind eure Anforderungen? Mich würde schon interessieren welche Alternativen man nutzen könnte und wo die Einschränkungen sind. Gerne auch per PN. EDIT: Die Tickets der VPN-User wirst du nicht sehen, außer du schaust in die Kerberos-Datenbank. Das scheint aber nur mit Linux/Unix zu gehen. Für in die Datenbank des MS-Kerberos rein zu schauen hab ich noch nichts gefunden. Ich schaue mir die Pakete im Networktrace an, dort sehe ich wer angefordert hat und zu welchem Ziel (SNAME). Wir haben auch eine interne Enterprise CA, welche aber bei diesem VPN nicht weiterhilft, da diese von außen nicht erreichbar ist (CRL, CDP).
  2. Moin, so ich nutze ein Öffentliches Zertifikat für die VPN Verbindung, da auch "nicht" Mitarbeiter sich connecten können.somit wird der CDP und die CRL aus den öffentlichen Sperrlisten und Zert-Stores entnommen. Bis die TMG endgültig ausgelaufen ist, vergehen noch ca. 3 Jahre und bis dahin hoffe ich, dass es eine gute Alternative gibt. Solange muss die TMG aber noch durchhalten :). Was meinst du hiermit? Ich konnte das leider noch nicht testet, wie sich die Anmeldung und Zugriffe verhalten. Ich stell mir aber grad vor, dass es hier zu Problemen kommt, wenn der RAS-VPN-AD User weniger zugriff hat als der Windows-AD User mit dem ich immer noch angemeldet bin. Ich will das mal sehen und schauen welche Tickets wie und für was angefordert werden. Somit kann ich zumindest einige Probleme ausschließen oder doch eine andere Lösung anpeilen, zb. VPN und AD Benutzer sind die gleichen. Über NAP kann ich auch gezielt angeben wer und welche Geräte sich mit dem VPN Account verbinden können und somit einen Zugriff von Dritt-Geräten wie Handy oder Privates Laptop verbieten.D Danke für die intensive Diskussion :).
  3. Hi, ja das ist korrekt und habe ich auch so verstanden. Versuche grad selber das mit RADIUS nach zustellen. Die Frage war eher so gemeint, Nach der VPN Anmeldung sind beide Accounts in der AD. Der von der Windows Anmeldung und der aus der RADIUS Anmeldung.
  4. Danke für eure fleißigen Rückmeldungen !!! Wie schon gesagt, eine schöne alternative zur TMG habe ich bisher nicht gefunden. Mal angenommen, ich binde die TMG in die Domäne oder lasse die VPN User per RADIUS an die Domäne authentifizieren. Wir werden dazu separate Accounts anlegen, die dafür verwendet werden. Mit welchen Anmeldedaten schlage ich dann bei den Windows Services (Fileserver usw.) auf ? Die von der bisherigen Client Anmeldung "hans.wurst" oder die aus dem VPN "vpn-hans.wurst"? Am DC vermutlich mit dem VPN Account, welches ein Ticket auslöst. Habe ich dann verschiedene Tickets von 2 verschiedenen AD Benuztern? Welche hat vorrang? Das hat ja dann auch Auswirkung auf die Zugriffsberechtigungen und Gruppenrichtlinien! Fragen über Fragen..
  5. Jetzt würden wir leicht vom Thema abweichen, aber welche wirklich guten alternativen für einen Ersatz gibt es denn für sie tmg.
  6. Moin, Aber die tmg in die Domäne aufzunehmen birgt, meines Erachtens, große sicherheitsrisiken. Grundlegend wollten wir eine 2 fache Autorisierung haben um von extern auf unsere internen Daten zugreifen zu können . @daabm Ok, das VVerhalten könnte ich mir vorstellen. Aber ist das dann nicht unlogisch dass ich mit der vpn Identität gegen die Domäne komme, und dennoch Tickets für Zugriffe auf Server-dienste bekomme, obwohl ich "primär" eine vpn Identität habe? Da muss ja die "alte" ad Identität irgendwie noch eine Rolle spielen? Da muss es doch was geben, was diesen Prozess beschreibt.
  7. Wie soll dann Windows beide credentials (ad und vpn) handhaben? Sind dann beide gültig und fragen Tickets beim kdc an? Habe je dennoch für den ad Account Tickets für diverse Fileserver usw bekommen. Wie will Windows das handhaben, ich meine mich erinnern zu können, dass nur einen Satz an angemeldete Daten gibt.
  8. Kennt Ihr ein Dokument aus Technet oder so oder generell von Microsoft, was dieses Verhalten beschreibt. Also das eine VPN-Verbindung als Windows Benutzeranmeldung gilt/zählt?
  9. http://www.isaserver.org/articles-tutorials/general/Configuring-Forefront-TMG-client-VPN-access-NAP.html
  10. Du meinst die TMG mit dem RAS Dienst und die VPN Benutzer im AD pflegen? Edit: ahh zu langsam ... :) Ich meine das die TMG auch gegen RADIUS die VPN Benutzer authentifizieren kann. Gegeben falls wäre das eine Lösung noch für uns, einen NPS mit Radius Clients ist im internen Netz bereits im Einsatz.
  11. Ja das ist wirklich doof, zumal ich nicht damit gerechnet hätte, dass die VPN Authentifizierung als "Angemeldete Sitzung" gehandelt wird. Aufgefallen ist mir dass, als ich zum test (bei einem anderem Hintergrund) in dem Windows Anmeldeschirm eine VPN Anmeldung durchführen wollte. Hier werden die Anmeldedaten für das VPN sowie für Windows verwendet. Was kann ich nun tun, mir ist grad noch nicht klar, wie ich das Problem bzw. ob ich das Problem umgehen kann?!
  12. Ich habe mal folgendes probiert und bin ein wenig vom Ergebnis überrascht. - Einen neuen User für das VPN auf der TMG angelegt "test" - Mich als Benutzer hans.wurst angemeldet. - Die VPN Verbindung mit dem Benutzer "test" eingerichtet und verbunden Im Netzwerktrace kann ich nun sehen, dass ein Ticket mit dem Namen "test" und nicht mit hans.wurst angefordert wird. 7303 15:22:20 03.02.2015 99.9293153 192.168.248.55 WIN10002.dev.domain.de KerberosV5 KerberosV5:AS Request Cname: test Realm: dev.domain.de Sname: krbtgt/dev.domain.de {TCP:1742, IPv4:326} 7304 15:22:20 03.02.2015 99.9296332 WIN10002.dev.domain.de 192.168.248.55 KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_C_PRINCIPAL_UNKNOWN (6) {TCP:1742, IPv4:326} Warum und was nun???
  13. Also, ich bin mir nicht ganz 100% sicher, aber die Anmeldung mit VPN, die ist doch unabhängig von der Windows Anmeldung oder? Hintergrund, wir verwenden für die VPN Verbindung lokale Benutzer (welche auf der TMG gepflegt werden). Diese haben aber den gleichen Namen wie die Domain Accounts.
  14. Soweit richtig, der Benutzer meldet sich auch nicht erneut an der domäne an. Sofern der User kein gültiges Ticket hat, fragt er beim nächsten DC mit seinen Anmeldedaten an (aus der aktuellen Anmeldung). Da diese Anmeldedaten korrekt sind und auch das PW, etc. gültig ist, sollte das kein Problem darstellen. Wenn ich von subnetz zu Subnetz springe, melde ich mich ja auch nicht erneut an, sondern frage beim KDC nach einem Ticket mit meinen bisherigen Anmeldedaten, sofern mein Ticket noch nicht ausgelaufen oder ungültig ist.
  15. Nein, die TMG ist ein "Standalone" Server ohne AD Anbindung. Dieser macht auch kein Kerberos-Proxy. Einzig allein ein Web-Proxy für VPN über HTTPS ist eingerichtet (VPN SSTP.)
  16. Hi, ob beim 1. oder 2. mal kann ich nicht genau sagen, ich habe nur mehere Versuche gesehen und dann gab es den Kerberos Fehler "KDC_ERR_PREAUTH_FAILED". Im LAN besteht das Problem nicht und wir verwenden 3 DC in einer Site, wo auch das VPN zugehört. - Das Userkennwort ist nicht abgelaufen. - Die Uhrzeit ist auch korrekt. - Was meinst du mit dem krbtgt Kennwort? Wie kann ich das abfragen/prüfen? Wenn weitere Fragen sind, gerne :). cu
  17. Moin, ich habe das mal umgestellt, was aber leider nicht zum Erfolg führte. Ich habe das ganze auch nochmal versucht genauer zu verstehen und mir dazu den Networktrace angeschaut. 742 11:32:59 02.02.2015 8.6452551 192.168.248.55 WIN10002.dev.domain.de KerberosV5 KerberosV5:AS Request Cname: hans.wurst Realm: dev.domain.de Sname: krbtgt/dev.domain.de {TCP:166, IPv4:816} 743 11:32:59 02.02.2015 8.6459572 WIN10002.dev.domain.de 192.168.248.55 KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_REQUIRED (25) {TCP:166, IPv4:816} 787 11:33:00 02.02.2015 9.0950799 192.168.248.55 WIN10002.dev.domain.de KerberosV5 KerberosV5:AS Request Cname: hans.wurst Realm: dev.domain.de Sname: krbtgt/dev.domain.de {TCP:172, IPv4:816} 788 11:33:00 02.02.2015 9.0970095 WIN10002.dev.domain.de 192.168.248.55 KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_FAILED (24) {TCP:172, IPv4:816} Hier können wir erkennen, dass der Benutzer Hans.Wurst aus dem VPN (192.168.248.x/24) versucht ein Ticket für die Domain "dev.domain.de" beim Primary KDC "krbtgt/dev.domain.de" anzufragen. Dieses gelingt nicht und beim 2. mal gibt es einen Fehler mit "KDC_ERR_PREAUTH_FAILED". Wenn nun der Benutzer Hans Wurst versucht, im selben VPN, eine Verbindung zum Fileserver, Druckserver aufzubauen, erhält er ein gültiges Ticket. Das gilt auch, wenn der Benutzer sich direkt alle Freigaben von einem DC z.b. WIn10002 anzeigen und zugreifen möchte. (\\win10002.dev.domain.de\netlogon). 4337 11:34:21 02.02.2015 90.6191223 192.168.248.55 WIN10002.dev.domain.de KerberosV5 KerberosV5:TGS Request {TCP:1004, IPv4:816} 4340 11:34:21 02.02.2015 90.6208364 WIN10002.dev.domain.de 192.168.248.55 KerberosV5 KerberosV5:TGS Response Cname: hans.wurst {TCP:1004, IPv4:816} In dem Response sieht man, für welchen Service das Ticket ausgestellt wurde. >> Ticket: Realm: DEV.DOMAIN.DE, Sname: cifs/storage3.dev.domain.de Auch auf dem Client kann ich mir auch die ausgestellten Tickets anzeigen lassen. Auch nach löschen (klist purge), werden diese erneut ausgestellt. >> klist #0> Client: hans.wurst @ DEV.DOMAIN.DE Server: krbtgt/DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e00000 -> forwardable renewable initial pre_authent Start Time: 2/2/2015 12:06:06 (local) End Time: 2/2/2015 22:06:06 (local) Renew Time: 2/9/2015 12:06:06 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 #1> Client: hans.wurst @ DEV.DOMAIN.DE Server: cifs/fileserver.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a00000 -> forwardable renewable pre_authent Start Time: 2/2/2015 12:55:47 (local) End Time: 2/2/2015 22:06:06 (local) Renew Time: 2/9/2015 12:06:06 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 #2> Client: hans.wurst @ DEV.DOMAIN.DE Server: ldap/WIN10002.DEV.DOMAIN.DE/DEV.DOMAIN.DE @ MEMBER.OSTHU KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a40000 -> forwardable renewable pre_authent ok_as_del Start Time: 2/2/2015 12:22:40 (local) End Time: 2/2/2015 22:06:06 (local) Renew Time: 2/9/2015 12:06:06 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 #3> Client: hans.wurst @ DEV.DOMAIN.DE Server: host/0200l.DEV.DOMAIN.DE @ DEV.DOMAIN.DE KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a00000 -> forwardable renewable pre_authent Start Time: 2/2/2015 12:06:06 (local) End Time: 2/2/2015 22:06:06 (local) Renew Time: 2/9/2015 12:06:06 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Wenn ich aber versuche GPOs upzudaten, oder auf den NETLOGON/SYSVOL Ordner vom Domainstamm gehen möchte (dev.domain.de), erhalte ich eine Fehlermeldung (oder werde zum erneuten Anmelden aufgefordert ; NTLM) und sehe die oben beschriebenen Kerberos Anmeldeversuche. Ein weiteren Hinweis liefert mir das Tool "nltest". nltest /sc_verify:dev.doamin.de Fehler bei I_NetLogonControl: Status = 5 0x5 ERROR_ACCESS_DENIED Ich hoffe es halbwegs Übersichtlich erklärt zu haben, falls doch fragen sind helfe ich gerne weiter. ich hoffe auch dass Ihr mir bei diesem Problem weiterhelfen könnt. Viele Grüße
  18. Hi das habe ich gestern auch gelesen. Wir verwenden aber schon TCP, auf der tmg sowie im Netzwerktrace vom DC sehe ich nur TCP Verbindungen.
  19. Hi, ich habe Probleme mit der Kerberos Authentifizierung sobald ein Client im VPN ist. Fehler aus dem network Trace: KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_FAILED (24) Wir haben mehrere DCs, eine TMG die das Routing/Firewalling und VPN Gateway stellt und Clients die im internen Netz und im externen arbeiten. Das interne Servernetz ist Subnetz 1 und die internen Clients liegen im Subnet 2. Externe Clients wählen sich via VPN auf die TMG ein und sind im Subnet 3. Bei den Internen Clients kann ich keine Fehler im Trace oder Log feststellen. Sobald sich aber ein Client ins VPN einwählt, sehe ich om Trace immer wieder die beiden Fehlermeldungen: KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_REQUIRED (25) KerberosV5:KRB_ERROR - KDC_ERR_PREAUTH_FAILED (24) Letztendlich bedeutet das, dass sich der Client nicht korrekt authentifiziert (PREAUTH_FAILED) und das daher immer wieder ein (PREAUTH_REQUIRED) vom DC an den Client gesendet wird. In der Firewall bzw. in der TMG kann ich keine Fehler oder Denied Connections festellen. Nun stehe ich was auf dem Schlauch woran das liegen könnte. habt ihr da Ideen...? cu Beetlejuice
  20. Hi und danke für die Antworten. Ich habe das mal geprüft, den Filter für die Regel deaktiviert und ausprobiert. Leider ohne erfolg. Da ich ja auch ohne VPN in den anderen Netzen keine Probleme habe, denke ich nicht, das es an der ISA liegt. Zumal es auch die gleich Regel ist. Die Logs geben auch nicht mehr auskunft. Die Pakete werden initiert (0x0 Error_Success) und später getrennt (Graceful_Shutdown). Nur bei vereinzelten Verbindungen (SMB, RPC und Dynamische Ports) wird die Verbindung verworfen (Abortive_Shutdown). Ich denk das liegt aber eher daran, dass der Client darauf keine Antwort gibt. Da kann ich aber an der ISA nichts weiter machen. Ist da was bekannt, wie Windows 7 die VPN Verbindungen behandelt, sodass nicht alle RPC anfragen (DCOM usw.) nicht über dynamische Netzwerkadapter wie VPN's geleitet werden. Das Windows hier mir einen strich durch die Rechnung macht? Irgendeins der unzähligen Sicherheitsfeatures die Remote Aktionen verhinden? cu und danke!
  21. Hi, das VPN gateway ist eine ISA 2006 und dort habe ich schon zu testzwecken eine any/any regel eingebaut. Als AV wird Smantec verwendet, jdeoch ohne Firewall. Firewall ist die Windows eigene und das Firewall Profil habe ich berücksichtigt. Wie gesagt auch eine any/any auf Windows Firewall hat nicht geholfen. Ich habe nicht behauptet, das diese nich über VPN funktionieren. Es geht dabei eher um die aktualiserung der GPO. Einige Werte werden aber auch nur bei einer Anmeldung gesetzt. Wie auch immer, die frage die sich mir stellt ist eher warum mir Windows da einen strich durch die Rechnung macht. cu
  22. Hi, ja ich kann den Rechner pingen, RDP Zugriff geht, SMB und den rest der Computerverwaltung sehe ich ja auch. Wir machen auch die Remote-Unterstützung (Windows Remote Assistance) über VPN . Ich vermute auch, da es was mit dem Adpater VPN zu tun hat. Da selbst bei Firewall aus oder alles erlauben es nicht funktioniert. Naja, es ist aktuell nur ein Rechner, könnten aber mehr (bis zu 5) werden, die eventuell eingriff in die loakle benutezrverwaltung bräuchten. Sei es nur um temporär einen Benutzer anzulegen und später wieder zu entfernen, bzw. deaktivieren. Das über GPO abzuwandeln ist doof, wenn die leute nicht immer im Netz hängen und hauptsächlich, ca 90% der Zeit VPN nutzen.
  23. Hi, - Windows 7 Professional SP 1 - DE/EN - Unable ot access the computer 192.168.248.12. The error was:The RPC server is unavailable. Wenn ich mich aber ohne VPN auf den Rechner hänge tut es das. IP-Adresse: Quell - 172.16.0.200/24 Ziel - 172.16.10.12/24 Ziel-VPN - 192.168.248.12/24 Ich weiß, wollen aber für die paar Rechner keine GPO anlegen und die Benutzer einzeln verwalten. cu
  24. Hi zusammen, wir möchten gerne die Lokalen Benutzer und Gruppen remote verwalten. Wir setzten auf allen Rechner Windows 7 SP1 ein. In unserem internen Firmennetzwerk (unterschiedliche Subnetze), kann ich remote über die mmc "Computerverwaltung" die Benutzer und Gruppen verwalten. Wir haben auch Mitarbeiter, die extern sind und sich via VPN (Windows Client) einwählen. Genau bei diesen Rechnern habe ich das Problem. Ich kann zwar auf die "Computerverwaltung" zugreifen aber die lokale Benutzer und Gruppen kann ich NICHT verwalten. Ich habe schon etliches versucht, lokale Win7 Firewall an/aus, bestehende Regeln anpassen, neue Regeln, loakle und server Firewall logs auswerten... Habt ihr noch eine Idee wie das zu realisieren wäre? cu
  25. Hi, ich habe auch noch vor, die beiden Prüfungen abzulegen. Hast Du diese schon gemacht oder hat jemand anderes diese vor kurzen abgelegt und kann kurz berichten? Danke, cu
×
×
  • Neu erstellen...