Jump to content

Domänenpasswort über VPN Syncroniseren

deadcandance
Direkt zur Lösung Gelöst von olc,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

deadcandance

deadcandance   10

Geschrieben
Geschrieben

Wir haben Probleme mit der Passwortsyncronisation zwischen Domäne und Rechner über VPN.

Folgendes Scenario:

Passwort muß alle 90 Tage geändert,

Komplexitätsanforderungen entsprechen,

Hinweis auf Ablauf 14 Tage vorher

alles per GPO umgesetzt

 

Jetzt gibt es Benutzer die so gut wie nie im Büro sind, sondern vom Homeoffice per VPN zugreifen.

 

Dieser Benutzer bekommen den Hinweis das das Passwort abläuft nicht.

Wenn das Passwort nach 90 Tagen abgelaufen ist, werden Sie bei Aktionen die in die Domäne gehen darauf hingewiesen

das das Passwort abgelaufen ist. Z. Bsp. wenn Sie per Outlook 2003 Ihre Emails per MAPI vom Exch2003 abrufen.

Hier hätten Sie die Möglichkeit das Passwort zu ändern, das funktioniert aber nicht.

Also an einem Terminalserver angemeldet und Passwort neugesetzt.

Auf dem Rechner wird aber immernoch das alte Passwort gecached.

Das heißt bei jeder Aktion müssen Sie sich nun authentifizieren.

 

Wieso wird das Passwort nicht zum Clientrechner syncronisiert?

 

Wenn der Benutzer nun das Passwort auf dem Rechner neusetzen will (ohne VPN Verbindung), auf das geleiche was er in der Domäne hat,

bekommt er die Meldung das die Domäne nicht zur Verfügung steht. Logisch.

Wenn er die VPN Verbindung aufmacht und es dann versucht funktioniert es auch nicht,

dann bekommt er immer die Meldung das das Passwort nicht den Komplexitätsanforderungen genügt. Das tut es aber. Das Passwort ist komplex und es ist auch kein Passwort was er schonmal verwendet hat.

 

Wie geht man in solchen Fall normalerweise vor.

Im Moment muss der Benutzer sich am Rechner mit dem alten Passwort anmelden und dann immer authentifizieren wenn er hier ins Netz will.

 

ich kann mir nicht vorstellen das wir die einzigsten sind die das Problem haben.

 

danke schonmal

gruss dcd

Link zu diesem Kommentar
deadcandance

deadcandance   10

Geschrieben
  • Autor
Geschrieben
Naja, wenn der VPN-Client so konfiguriert ist, dass er nicht nur manuell eine Verbindung herstellt, einen virtuellen Adapter benutzt und die DNS/WINS Server der AD-Domäne bekommt, kann man sich ganz normal über VPN an der Domäne anmelden (getestet mit einem NCP- und Safenetclient und einer Watchguard VPN-Appliance) ...

 

Das kann nicht funktionieren.

Wenn ich irgendwo im Hotel bin, den Rechner hochfahre und mich einlogge, kann ich noch keine Internetverbindung haben oder aufbauen. Die kann ich erst herstellen wenn ich eingeloggt bin und per WLAN , Modem etc. eine Verbindung ins Internet herstelle.

Soll das heißen es gibt keinen Meschanismus im AD,der sicherstellt das Passwörter auf die Clients syncronisiert werden, wenn sich diese nicht direkt in der Domäne befinden, sonder per VPN eine Verbindung aufgebaut haben?

Link zu diesem Kommentar
deadcandance

deadcandance   10

Geschrieben
  • Autor
Geschrieben
In dem Falle korrekt ... Eine Netzwerkverbindung muss natürlich vorhanden sein, wie es beispielsweise zu Hause mit Router der Fall ist (so ist es in meinem Fall) und das klappt tadellos ...

 

Naja schön für den der immer zu Hause arbeitet, schlecht für den der permanent unterwegs ist.

Bleibt immernoch die Frage ob es keine andere Möglichkeit oder Meschanismus gibt.

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Naja, nicht nur zu Hause, quasi jedes Netzwerk, in dem Du via Router eine Netzwerkverbindung schon beim Starten hast und wo die VPN-Protokolle zugelassen sind. Ich kenne keine andere Möglichkeit der Synchronisierung der Passwörter (was natürlich nicht heisst, dass es keine gibt). Du meldest Dich nun mal nicht interaktiv am DC an, sondern mit zwischengespeicherten Benutzerdaten und greifst dann via Netzwerkanmeldung zu ...

Link zu diesem Kommentar
  • 1 Jahr später...
adedoc Newbie

adedoc   10

Geschrieben
Geschrieben

Das Passwort wird zwischen AD und lokalem Rechner synchronisiert, indem man sich

- am Laptop mit dem veraltenten Passwort anmeldet

- eine Verbindung z.B. über VPN zum Firmennetz herstellt

( dort hat man wg. des veralteten Passworts keinen Zugriff auf Ressourcen der Domain)

- Strg-Alt-Entf + "Computer sperren"

- erneut Strg-Alt-Entf + mit dem _neuen_ in der Domäne gültigen Passwort wieder anmelden.

 

Klingt seltsam, ist aber so.

Link zu diesem Kommentar
  • Beste Lösung
olc Veteran

olc   18

Geschrieben
  • Beste Lösung
Geschrieben

Hi,

 

neben der von adedoc genannten Möglichkeit des "Sperrens" kannst Du auch ein "runas /USER:domain\DeinUser notepad" ausführen. Hier muß dann schon das neue Kennwort eingegeben werden und es wird der lokale Passwort Cache aktualisiert.

 

Eine Neuanmeldung am Client sorgt dann auch dafür, daß das Benutzerticket aktualisiert wird, inkl. ggf. neuer Gruppenmitgliedschaften.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...