Win7 / Win10 - Diese DNS Suffixe anhängen

[Maraun 12]

Hallo zusammen,

 

wir haben eine Kollaboration mit einem anderen Unternehmen und dafür für einige Benutzer deren Portalzugriff auf Sharepoint etc. in Nutzung. Jetzt habe ich gesehen, dass bei unseren Clients mit dem externen Portalzugang deren DNS-Suffixe in den lokalen Netzwerkeinstellungen drinstehen.

Wie kann ich das zukünftig verhindern?

Ich habe folgende GPOs bereits gesetzt, trotzdem wurden diese fremden DNS-Suffixe eingetragen -> Siehe Screenshot...(ausgeschwärzt ist unser DNS Suffixe der Domäne).

 

Gruß

 

[NilsK 3.046]

Moin,

 

warum schaltest du die DNS-Suffix-Suchliste ab?

 

Dein eigentliches Problem habe ich noch nicht verstanden. Kannst du das bitte noch mal genauer erklären?

 

Gruß, Nils

[Maraun 12]

Hi,

 

also mein Problem ist, dass interne Benutzer, die Zugriff auf das externe Kollaborationsportal haben, in die interne IPv4 Eigenschaften die externen DNS Suffixe eintragen.

Ich setze ja per GPO unsere interne Domäne als DNS Suffix und das ist ja nicht sichtbar, aber ich möchte dennoch Auflösungsprobleme mit den externen DNS-Suffixen verhindern und diese auch nicht setzen lassen.
Deshalb verhindere ich auch die DNS Suffix Suchliste.
Bei unseren lokalen Clients, die mit dem externen Portal verbunden waren, sehen die TCP/IP Einstellungen jetzt so ähnlich aus wie in meinem angehängten Beispiel.

 

Gruß

Alex

[NilsK 3.046]

Moin,

 

wieso können die User das überhaupt eintragen? Dafür müssen sie lokale Admins sein. Dann hast du ganz andere Probleme.

 

Die Lösung lautet also: Nimm den Usern die Adminrechte.

 

Gruß, Nils

[Maraun 12]

Hi,

 

ich denke das Problem liegt woanders. DIe beiden Benutzer, bei denen das aufgefallen ist, sind keine lokale Admins und die haben das auch nicht eingetragen.

Per SSL Network Extender wird von der Kollaborationsfirma ein Einwahlportal zur Verfügung gestellt. Dies erfolgt per zusätzlichem Domänenbenutzer der Kollaborationsfirma.

und hier werden die DNS Suffixe automatisch (warum auch immer) auf unsere Domänenbenutzer gesetzt.

Grüße

[NilsK 3.046]

Moin,

 

aha, das ist dann ja eine andere Situation. Ich interpretiere mal: Die Anwender nutzen den VPN-Client, um sich in das Netz des Kunden/Partners einzuwählen. Der VPN-Client sorgt dann dafür, dass das dort nötige DNS-Suffix hinzugefügt wird, damit kurze Namen im Zielnetzwerk korrekt aufgelöst werden.

 

Daher würde ich die Suche beim VPN-Client fortsetzen.

 

Gruß, Nils

[Maraun 12]

Ja genau, so kommt das zustande.

Kann ich das intern per GPO irgendwo verhindern bzw. wieder überschreiben?

Ich frage in der Zwischenzeit direkt an bezüglich dem Network Extender von der Kollaborationsfirma.

 

Gruß

[NilsK 3.046]

Moin,

 

Kann ich das intern per GPO irgendwo verhindern bzw. wieder überschreiben?

 

das kommt drauf an, wie der VPN-Client arbeitet. Ohne den einzubeziehen, wird man das meiner Vermutung nach nicht lösen können.

 

Gruß, Nils

[magheinz 111]

dem alten cisco-IPSec-VPN-Client konnte man vom VPN-Endpunkt(ASA o.ä.) solche Konfigdinge mitgeben.

Beim anyconnect sollte das auch gehen.

Ich bin sicher andere Hersteller machen das auch.

[Maraun 12]

Okay, danke Euch erstmal.

Aber nochmals gefragt: Kann ich das nicht verhindern, dass die fremden DNS-Suffixe sich bei unseren Clients eintragen,

wenn die den VPN Client nutzen?

 

Gruß

[magheinz 111]

jein. der VPN-Client stellt dann halt den Dienst ein da der client die policyanforderungen nicht erfüllt...