Nick22 11 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Hallo zusammen, ein Laptopbenutzer, der gerade im ausland unterwegs ist, kann sich nicht mehr anmelden. Es scheint so, als hätte Windows das gecachte Domänenkennwort vergessen. Da natürlich alle Konfigurationen auf dem Profil des Domänenbenutzers eingestellt sind, muss er sich halt auch damit anmelden können. Wir nutzen zur Einwahl ins Netz VPN (PPTP direkt an der Firewall (Watchguard X700)). Bei der Anmeldung gibt es ja die Möglichkeit "Anmelden über DFÜ" zu aktivieren, allerdings erscheint dann die Fehlermeldung: Kann Domäne nicht finden. Folgende FW-Konfiguration sind zur Zeit aktiv. 53 tcp/udp 137 udp 138 tcp/udp 139 tcp/udp 445 tcp 389 tcp/udp 3268 tcp Diese Konfiguration hatte ich mir schon aus verschiedenen Foren und FAQs zusammengesucht. Laufwerksmapping und DNS funktioniert. Fehlen mir noch Ports? Zitieren Link zu diesem Kommentar
pandabaer111 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Hallo Nick 22, du solltest noch den Port 1723 öffnen wegen deiner Firewall!! Für weitere Infos http://support.microsoft.com/default.aspx?scid=kb;EN-US;314076 Hoffe ich konnte dir helfen!! Mike Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Warum aktivierst Du nicht das Logging auf der Watchguard und schaust Dir den Einwahlvorgang im Trafficmonitor an. Dann siehst Du , was in welche Richtung geblockt wird. Hast Du WFS oder Fireware Pro auf der Box ? Den TCP 1723 musst Du nicht öffnen, das erledigt die Box ohne Zutun ... Zitieren Link zu diesem Kommentar
Nick22 11 Geschrieben 22. Juni 2006 Autor Melden Teilen Geschrieben 22. Juni 2006 Danke für die Antworten, wie IThome schon sagte, macht der Port 1723 auf zu machen keinen Sinn, da die Firewall selbst der VPN Server ist. Wenn der VPN Server hinter der Firewall steht, muss natürlich der Port weitergeleitet/durchgelassen werden. Hatte mir eigentlich schon die Log angeschaut, aber nichts finden können was da geblockt wird, werde es aber nochmal in Echtzeit mit dem Anwender durchgehen. Vielleicht habe ich noch was übersehen. Aber deine Frage hab ich nicht ganz verstanden, was meinst du mit WFS und Fireware Pro? Sind das Firebox Versionen? SW Version 7.3. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Ja genau, dann hast Du WFS 7.3 (aktuell ist WFS 7.4 mit WSM 8.2.1) ... Zitieren Link zu diesem Kommentar
Nick22 11 Geschrieben 22. Juni 2006 Autor Melden Teilen Geschrieben 22. Juni 2006 Hm, das ist komisch, es scheint als würde er versuchen die VPN Verbindung über das Windows Kennwort herzustellen. Obwohl in der VPN Verbindung ein anderer Benutzername drin steht. Bei einer manuellen Verbindung, also nach der Anmeldung, funktioniert das ja auch. Nimmt Windows automatisch bei dem herstellen einer Verbindung bei der Anmeldung, also bei "Verbinden über DFÜ", die Anmeldedaten von Windows? 06/22/06 10:54 pptpd[18624]: Watchguard pptpd 2.2.0 started 06/22/06 10:54 pptpd[18624]: Using interface pptp2 06/22/06 10:54 kernel: pptp2: daemon attached. 06/22/06 10:54 pptpd[18624]: Connect: pptp2 [2] <--> x.x.x.x 06/22/06 10:54 pptpd[18624]: Connect: pptp2 [2] <--> x.x.x.x 06/22/06 10:54 kernel: GRE: out of order: as:7 seq:6 from:0xe6a145de 06/22/06 10:54 pptpd[18624]: Can't find property users.username.groups 06/22/06 10:54 pptpd[18624]: CHAP user (username) not in `pptp_users' group. Unable to authenticate. 06/22/06 10:54 pptpd[18624]: CHAP peer authentication failed 06/22/06 10:54 pptpd[18624]: CHAP allowing peer to retry authentication 06/22/06 10:54 pptpd[18624]: LCP terminated at peer's request 06/22/06 10:54 tunneld[149]: process_clear_request: x.x.x.x requested clear of non-existant call 06/22/06 10:54 tunneld[149]: process_rfds: unable to process packet from x.x.x.x 06/22/06 10:54 pptpd[18624]: Terminating on signal 2. 06/22/06 10:54 pptpd[18624]: Connection terminated. 06/22/06 10:54 pptpd[18624]: Persist flag not set, so we are exiting. 06/22/06 10:54 kernel: pptp2: pptp_sock_close 06/22/06 10:54 pptpd[18624]: Exit. Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 In den Eigenschaften des Verbindungsdialogs für die VPN-Verbindung gibts unter Sicherheit die Option, die Anmeldedaten von Windows zu verwenden. Evtl hat er da nen Haken drin? Der sollte dann auch nämlich für das Anmelden über DFÜ gelten, also mal rausmachen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Hat es eigentlich einen Grund, warum Du PPTP und nicht IPSec benutzt ? Mit dem Softremote Client muss nur "Only Connect Manually" deaktiviert sein , die Namensauflösung passen und dann kann der Benutzer, ohne sich vorher irgendwo einwählen zu müssen (Internetzugriff muss natürlich vorhanden sein), auf das Firmennetz zugreifen ... edit: seit heute ist die Version WFS 7.4.1 , WSM 8.3 , Fireware/Fireware Pro 8.3 downloadbar ... Zitieren Link zu diesem Kommentar
Nick22 11 Geschrieben 23. Juni 2006 Autor Melden Teilen Geschrieben 23. Juni 2006 Guten Morgen, danke für die Antworten. Das mit der Windows-Anmeldung in der DFÜ Konfiguration werde ich prüfen. An den Haken habe ich gar nicht mehr dran gedacht, danke. Ich hatte mit dem Watchguard VPN Client Probleme vor einiger Zeit. Allerdings ging es da noch um die Version 6.x. Seid dem hatten wir nur noch PPTP Verbindungen eingerichtet. Habe mir aber seit der neuen FW (vorher FB 1000) vorgenommen, die neue Version mal zu testen. Aber bislang noch keine Zeit dazu gehabt. Werde mir gleich mal die Releaseinfo von WFS 7.4.1 + WSM 8.3 durchlesen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Mit dem 7.3er Client gibt es keine Probleme mehr (ich hatte zumindest noch keine) ... Das einzig interessante bei der WFS 7.4.1 ist meiner Meinung nach, dass jetzt 40 Kategorien im Webblocker ausgewählt werden können. Interessant könnte für Dich der Einsatz der Fireware Pro sein ... Zitieren Link zu diesem Kommentar
Nick22 11 Geschrieben 23. Juni 2006 Autor Melden Teilen Geschrieben 23. Juni 2006 Es hat funktioniert. Es waren aber noch mehrere Dinge zu tun (evtl. hab ich auch zu viel getan). - Der Haken "Domäne mit einbeziehen" war aktiv - 3268 tcp/udp - 3269 tcp Die Ports müssten etwas mit der Verbindung zum Globalen Katalog zu tun haben. Danke für eure Hilfe. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 23. Juni 2006 Melden Teilen Geschrieben 23. Juni 2006 Danke für die Rückmeldung ... :) Der 3268 TCP ist Globaler Catalog LDAP, der 3269 TCP ist Globaler Catalog LDAP over SSL ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.