Jump to content

AD Anmeldung über VPN verbieten


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe eine Filiale per VPN an ein Domänennetzwerk angebunden (Router/Router), welche sich aber nicht in der Domäne befinden. Nun möchte ich den Domänen-Laptops verbieten, sich über die bestehende VPN-Verbindung am DC der Domäne anzumelden, da diese ja grundsätzlich erreichbar ist.

 

Blocke ich die Anfragen aus dem entfernten Netz (IP-Bereich) in der Firewall des DC, oder blocke ich die DNS-Anfragen auf dem DNS des entferneten Netzwerk?

 

Ich möchte einfach nicht, dass sich die Laptops (wenn sie ausgeliehen werden) eine Domänenanmeldung "außer Haus" durchführen.

 

Vielen Dank.

Link zu diesem Kommentar

Habs mir durchgelesen, möchte es aber nicht einem Algorithmus überlassen, ob die Verbindung langsam ist, sondern selbst aus eigener Hand verbieten oder freigeben. Weil sollte mal die verbindung schnell sein oder schneller werden dank LTE, würde trotzdem unnötig das Datenvolumen durch die AD-Anmeldung benötigt werden. Das möchte ich eben vermeiden.

 

Ansonsten denke ich, dass die GPO allgemein schon Sinn machen würde.

 

Dennoch würde ich lieber per Firewall den Zugriff für die AD-Meldung blocken, oder eben die DNS-Einträge wie _tcp... _upd... _sites... _msdcs... blocken.

 

Stellt sich eben nur die Frage, ob DNS-Blocking oder die Firewall dicht machen... Welche Dienste in der Firewall wären das, die für die AD-Anmeldung zuständig wären? dann würde ich die AD-Anmeldung im "Bereich" auf das "lokale Subnetz" restriktieren...

 

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

du solltest immer das eigentliche Ziel im Auge behalten. Wenn du nicht willst, dass das VPN für andere Zwecke als Remote-Administration genutzt wird, dann setze etwas um, das dies auch erreicht. Die Domänen-Anmeldung einzuschränken, hilft dann nicht. Mit Cached Credentials könnte man von einem "Leih-Notebook" trotzdem Ressourcen aus der Zentrale verwenden, die das WAN weit mehr auslasten als ein paar GPOs. Denk etwa an Gigabyte-Dateien von einem Fileshare.

 

Für die Anforderung scheint mir Norberts Vorschlag besser zu passen. Ergänzen könnte man das noch um eine Begrenzung der zugelassenen IP-Adressen.

 

Gruß, Nils

 

Link zu diesem Kommentar
  • 2 Wochen später...

Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert:

 

1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts.

 

2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld"

 

mal sehen, welche variante sich als besser für mein Vorhaben eignet.

Link zu diesem Kommentar

mit ner GPO für Firewall-Regeln ist das ganze auch global geregelt. Ein Eingriff in die Config-Datei des Tunnels, um aus einem "allow any", ein "deny all" mit "allow ip any 3306" zu machen wäre auch nicht weniger oder mehr gewesen. Für mich ist die oben beschriebene Lösung einfacher nachvollziebar, auch für andere. Und wenn mans nicht mehr benötigt, kann einfach die GPO deaktiviert oder entfernt werden...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...