Mokkujin 10 Geschrieben 15. März 2013 Melden Teilen Geschrieben 15. März 2013 (bearbeitet) Moinsen ich habe hier einen kompl. gepatchten TS auf W2K8 R2 Basis mit der TS Rolle und NPS , ich bin noch ziemlich neu in den Thema und habe 1 Verständnis Frage und 1 Problem Frage. Die Verständnis Frage : Die Benutzer kommen über ein Cisco VPN in unser Netz , den NPS habe ich jetzt so konfiguriert das die beiden das abgleichen und gegen das AD verifizieren ob der Benutzer rein darf oder nicht. Das funktioniert auch soweit. Jetzt hatte ich vor den Benutzern einer bestimmten Gruppe den Zugriff nur auf eine bestimmte IP Adresse zu erlauben nämlich die des TerminalServers. Nur habe ich keine Idee wie ich das umsetzen kann , mit den IP-Filtern habe ich bereits etwas rumgespielt aber leider ist es egal was ich da einstelle die Benutzer erreichen immer die komplette IP-Range meines Netzes. Klartext : Benutzer meldet sich an und kann nur auf die IP 192.168.1.5 zugreifen der Zugriff auf alle anderen Servern ist nicht erlaubt. Hat jemand eine Idee wie ich das umsetzen könnte ? Oder brauch ich da noch mehr Software auf dem Server ? Die Problem Frage : Wenn sich ein Benutzer anmeldet funktioniert leider das tauschen mit der Zwischenablage nicht. Nach etwas googlen habe ich gefunden das man einfach rdpclip.exe beenden und neu starten soll was aber leider auch nicht zum Erfolg geführt hat. Dafür habe ich diese kleine Batch gefunden : taskkill /f /im rdpclip.exe /fi "username eq %USERNAME%" start rdpclip.exe exit Auf dem Server ist der Austausch über Zwischenablage aktivert genauso wie im RDP Client. Jetzt hab ich keine Ahnung wo ich da noch schrauben könnte. bearbeitet 15. März 2013 von Mokkujin Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 15. März 2013 Melden Teilen Geschrieben 15. März 2013 Moin, das was du vorhast, kann mit einigen Tücken verbunden sein. Es sollte sich aber mit Windows und Cisco Bordmitteln umsetzen lassen. Die Benutzer kommen über ein Cisco VPN in unser Netz , den NPS habe ich jetzt so konfiguriert das die beiden das abgleichen und gegen das AD verifizieren ob der Benutzer rein darf oder nicht. Was für Cisco Geärt macht den VPN gateway? (ASA, PIX, ISR oder eine Cisco SMB aka Linksys Kiste?)Wie werden die Benutzer authentifiziert und autorisiert? (Zertifikate, PSK, LDAP Query, MSCHAP etc.) Das funktioniert auch soweit. Jetzt hatte ich vor den Benutzern einer bestimmten Gruppe den Zugriff nur auf eine bestimmte IP Adresse zu erlauben nämlich die des TerminalServers. Zunächst benötigst du für die "Gruppe" eine eigene Access Policy, die nur Zugriff auf den TS erlaubt. Wie du die Gruppenmitgliedschaft ermitteln musst, hängt dabei von (1) ab. Das kann z.B. über die OU oder ein anderes Attribut im Zertifikat, über ein LDAP Query oder eine statische Zuweisung etc. erfolgen. Die Genehmigung nur einer IP - des TS - kann zu Problemen führen, wenn der TS "Authentifizierung auf Netzwerkebene" verlangt - dann muss der VPN-Client auch mit den DC kommunizieren können. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.