Jump to content
WileC

AD Anmeldung über VPN verbieten

Recommended Posts

Hallo,

 

ich habe eine Filiale per VPN an ein Domänennetzwerk angebunden (Router/Router), welche sich aber nicht in der Domäne befinden. Nun möchte ich den Domänen-Laptops verbieten, sich über die bestehende VPN-Verbindung am DC der Domäne anzumelden, da diese ja grundsätzlich erreichbar ist.

 

Blocke ich die Anfragen aus dem entfernten Netz (IP-Bereich) in der Firewall des DC, oder blocke ich die DNS-Anfragen auf dem DNS des entferneten Netzwerk?

 

Ich möchte einfach nicht, dass sich die Laptops (wenn sie ausgeliehen werden) eine Domänenanmeldung "außer Haus" durchführen.

 

Vielen Dank.

Share this post


Link to post
Share on other sites

Weils eine total langsame und getaktete Verbindung ist und ein komplettes Ziehen der GPOs/GPPs nicht notwendig macht. Die VPN-Verbindung besteht, damit man die entfernten PCs per RDP administrieren kann.

Share this post


Link to post
Share on other sites

Habs mir durchgelesen, möchte es aber nicht einem Algorithmus überlassen, ob die Verbindung langsam ist, sondern selbst aus eigener Hand verbieten oder freigeben. Weil sollte mal die verbindung schnell sein oder schneller werden dank LTE, würde trotzdem unnötig das Datenvolumen durch die AD-Anmeldung benötigt werden. Das möchte ich eben vermeiden.

 

Ansonsten denke ich, dass die GPO allgemein schon Sinn machen würde.

 

Dennoch würde ich lieber per Firewall den Zugriff für die AD-Meldung blocken, oder eben die DNS-Einträge wie _tcp... _upd... _sites... _msdcs... blocken.

 

Stellt sich eben nur die Frage, ob DNS-Blocking oder die Firewall dicht machen... Welche Dienste in der Firewall wären das, die für die AD-Anmeldung zuständig wären? dann würde ich die AD-Anmeldung im "Bereich" auf das "lokale Subnetz" restriktieren...

 

Share this post


Link to post
Share on other sites

Moin,

 

du solltest immer das eigentliche Ziel im Auge behalten. Wenn du nicht willst, dass das VPN für andere Zwecke als Remote-Administration genutzt wird, dann setze etwas um, das dies auch erreicht. Die Domänen-Anmeldung einzuschränken, hilft dann nicht. Mit Cached Credentials könnte man von einem "Leih-Notebook" trotzdem Ressourcen aus der Zentrale verwenden, die das WAN weit mehr auslasten als ein paar GPOs. Denk etwa an Gigabyte-Dateien von einem Fileshare.

 

Für die Anforderung scheint mir Norberts Vorschlag besser zu passen. Ergänzen könnte man das noch um eine Begrenzung der zugelassenen IP-Adressen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert:

 

1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts.

 

2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld"

 

mal sehen, welche variante sich als besser für mein Vorhaben eignet.

Share this post


Link to post
Share on other sites

Was sprach jetzt dagegen, einfach den Tunnel zu schließen? Eh ich an der Stelle die du beschreibst rumbastele, wärs wohl einfacher, das global zu regeln.

Share this post


Link to post
Share on other sites

mit ner GPO für Firewall-Regeln ist das ganze auch global geregelt. Ein Eingriff in die Config-Datei des Tunnels, um aus einem "allow any", ein "deny all" mit "allow ip any 3306" zu machen wäre auch nicht weniger oder mehr gewesen. Für mich ist die oben beschriebene Lösung einfacher nachvollziebar, auch für andere. Und wenn mans nicht mehr benötigt, kann einfach die GPO deaktiviert oder entfernt werden...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...