Jump to content

WileC

Newbie
  • Content Count

    79
  • Joined

  • Last visited

Community Reputation

10 Neutral

About WileC

  • Rank
    Newbie
  • Birthday 01/17/1980

Webseite

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. mit ner GPO für Firewall-Regeln ist das ganze auch global geregelt. Ein Eingriff in die Config-Datei des Tunnels, um aus einem "allow any", ein "deny all" mit "allow ip any 3306" zu machen wäre auch nicht weniger oder mehr gewesen. Für mich ist die oben beschriebene Lösung einfacher nachvollziebar, auch für andere. Und wenn mans nicht mehr benötigt, kann einfach die GPO deaktiviert oder entfernt werden...
  2. Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert: 1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts. 2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld" mal sehen, welche variante sich als besser für mein Vorhaben eignet.
  3. Habs mir durchgelesen, möchte es aber nicht einem Algorithmus überlassen, ob die Verbindung langsam ist, sondern selbst aus eigener Hand verbieten oder freigeben. Weil sollte mal die verbindung schnell sein oder schneller werden dank LTE, würde trotzdem unnötig das Datenvolumen durch die AD-Anmeldung benötigt werden. Das möchte ich eben vermeiden. Ansonsten denke ich, dass die GPO allgemein schon Sinn machen würde. Dennoch würde ich lieber per Firewall den Zugriff für die AD-Meldung blocken, oder eben die DNS-Einträge wie _tcp... _upd... _sites... _msdcs... blocken. Stellt sich eben nur die Frage, ob DNS-Blocking oder die Firewall dicht machen... Welche Dienste in der Firewall wären das, die für die AD-Anmeldung zuständig wären? dann würde ich die AD-Anmeldung im "Bereich" auf das "lokale Subnetz" restriktieren...
  4. Weils eine total langsame und getaktete Verbindung ist und ein komplettes Ziehen der GPOs/GPPs nicht notwendig macht. Die VPN-Verbindung besteht, damit man die entfernten PCs per RDP administrieren kann.
  5. Hallo, ich habe eine Filiale per VPN an ein Domänennetzwerk angebunden (Router/Router), welche sich aber nicht in der Domäne befinden. Nun möchte ich den Domänen-Laptops verbieten, sich über die bestehende VPN-Verbindung am DC der Domäne anzumelden, da diese ja grundsätzlich erreichbar ist. Blocke ich die Anfragen aus dem entfernten Netz (IP-Bereich) in der Firewall des DC, oder blocke ich die DNS-Anfragen auf dem DNS des entferneten Netzwerk? Ich möchte einfach nicht, dass sich die Laptops (wenn sie ausgeliehen werden) eine Domänenanmeldung "außer Haus" durchführen. Vielen Dank.
  6. Derzeit mache ich das auch mit einem Start-Skript. Ich möchte nur von den Skripten weg und alles über GPP laufen lassen...
  7. Hallo liebes Forum, ich möchte mittels GPP Konfigurationsdateien vom Server auf die Clients kompieren. Dies muss ja bei den GPP-Files mit "ersetzen" geschehen. Nun möchte ich, dass nicht bei jedem Computerstart immer alle Dateien kopiert werden, sondern lediglich die "aktualiserten" Konfigurationen; also wenn die zu kopierende Datei neuer ist, als die bestehende. Das muss ich ja mittels WMI-Filter auf Zielgruppenadressierung realisieren. Aber ich hänge grad über dem WMI-Filter. Wie muss denn das SELECT aussehen, wenn sowohl die zu kopierende, als auch die bereits bestehende "lokale" Datei überprüft werden sollen? Vermutlich mittels "LastModified" aus der "CIM_DataFile" ?? LG und Danke für Eure Hilfe WileC
  8. So, ich habe für mich die Lösung gefunden, ohne an jeder einzelnen GPO/GPP Änderungen vornehmen zu müssen: ich habe die entsprechenden DNS-Records des AD im "entfernten" DNS geblockt. Beispiel an der dnsmasq.conf #Block ActiveDirectory (domain) address=/_msdcs.domain.lan/_tcp.domain.lan/_udp.domain.lan/127.0.0.1 Damit fahren die AD-Laptops hoch und ziehen sich die Computer- und Benutzerrichtlinien NICHT. Alle anderen DNS-Anfragen bzgl. "domain.lan" werden über das VPN weiterhin geroutet. Auch das ist so gewollt.
  9. Also: Grundsätzlich sollen die Clients ins Internet können, beim Systemstart aber nicht die Gruppenrichtlinien übers VPN ziehen. Grund ist einfach: 1. ich möchte es einfach nicht, 2. die Gruppenrichtlinien dauern einfach auf Grund der langsamen Internetverbindung (1Mbit) einfach lange, bis die GPO/GPP gezogen sind. Deswegen möchte ich es einfach unterbinden. Derzeit habe ich die die SRV-Einträge der Domäne im "entfernten" DNS geblockt, so dass die Domänen-clients im entfernten Netz den DC nicht auflösen können. Einen ausgiebigen Test werde ich nachreichen.
  10. Ich werde es mal versuchen, indem ich den SRV-Record DNS-seitig ins leere laufen lasse, so dass dieser nicht übers VPN geroutet wird.
  11. Das freut mich für Dich. Ich möchte aber keine Domänenanmeldung über VPN.
  12. Deswegen: weil ich mich zwar am Netzwerk2 ins Internet hängen möchte, aber keine Domänenanmeldung wegen der Übertragungsdauer möchte ... Was sind den die betreffenden DNS-Einträge bezüglich des AD?
  13. Hallo, ich habe zwei Netzwerke per VPN (Router <-> Router) miteinander verbunden. Beide Netzwerke können auch problemlos miteinander kommunizieren, Routen und DNS klappt alles problemlos. Im Netzwerk1 läuft eine Domäne, im Netzwerk2 nicht, lediglich DHCP und DNS. Wenn sich ein Laptop im Netzwerk1 (Domänennetzwerk) befindet, zieht er sich ganz normal die GPOs und GPPs, das passt ja soweit und soll er auch. Aber wenn sich der Laptop in Netzwerk2 befindet, soll sich der Laptop sich nicht an der Domäne über VPN verbinden und somit auch nicht die GPOs und GPPs beim Computerstart und der Anmeldung ziehen, sondern sich lediglich "lokal" starten und anmelden (sonst dauert das mit dem Starten und anmelden ewig). Kann ich das irgendwie am Laptop einstellen? am DC, dass er nur "interne" Verbindungen zulässt? Oder muss ich das am DNS des Netzwerk2 einstellen, dass srv-Anfragen oder ldap-Anfragen geblock werden? Danke schonmal.
×
×
  • Create New...