[2003] Extern (via internet) op windows domein inloggen*

woensdag 4 januari 2006 15:57

Topicstarter

Verwijderd schreef op woensdag 04 januari 2006 @ 12:14:
vpn verbinding opzetten voordat je aan inloggen toekomt (altijd op jou domain inloggen dus), alle overige oplossing zijn te link

ik wou het dus eigenlijk voorlopig zonder VPN oplossing, aangezien ik weinig ervaring met VPN verbindingen heb.

geld dat zowel voor inloggen op het domein als inloggen met alleen outlook?

Acties:

Rolfie

ik wou het dus eigenlijk voorlopig zonder VPN oplossing, aangezien ik weinig ervaring met VPN verbindingen heb.

Maar je wilt wel je Windows server direct aan het Internet koppelen? Hoesnel wil je gehacked zijn zullen we dan maar zeggen..... Verdiep je gewoon in VPN, dit werkt goed en snel en veilig

woensdag 4 januari 2006 16:00

Acties:

Verwijderd

Niet echt een veilige oplossing wat je doet (extern remote inloggen op een server ) magoed, ik zou je toch eens gaan verdiepen in VPN oid, want eens zal dit misgaan denk ik .....

woensdag 4 januari 2006 16:15

Acties:

woensdag 4 januari 2006 16:27

Topicstarter

ik heb inmiddels gezien dat ik de RAS/VPN functie aan de server kan toevoegen.

als ik dit toevoeg is het dan mogelijk vanaf buitenaf in te loggen?
waar moet ik verder op letten/confrigreren?

Acties:

paella

Snel en veilig:

www.hamachi.cc

een VPN oplossing, maar dan zero-configuration bijna.

No production networks were harmed during this posting

donderdag 5 januari 2006 10:40

Acties:

donderdag 5 januari 2006 18:12

Officieel moto fan :)

Kleine titel edit zodat het OS in je topic titel staat - verder denk ik dat je inderdaad aan een VPN zal moeten. Je zou voor Exchange wel eens aan RPC-over-HTTP kunnen denken

Acties:

donderdag 5 januari 2006 19:57

Topicstarter

ik heb vandaag even VPN gedeelte op de server geinstalleerd.
op de externe client kan ik nu een VPN verbinding maken

het lukt me nog niet om de PC in het domein te krijgen

ik heb nu het volgende gedaan:
gebruiker + ww op de VPN verbinding
+ NAAM (van het domein) NAAM.local werkt niet zoals het domein heet

daarna probeer ik dus bij systeemeigenschappen de PC in het domein te krijgen
nu moet ik bij domein weer alleen NAAM invullen (NAAM.local vind die niet) hierna krijg ik netjes inlog schermpje en vul ik gebruikersnaam + WW in.
na een tijdje komt de volgende foutmelding:
kan het netwerkpad niet vinden.

ik heb verschillende gebruikers geprobeerd.
en ik heb de gebruikers op de server VPN toegang gegeven (de verbinding wordt natuurlijk ook geaccepteerd)

waar zou ik nog naar kunnen kijken?

edit: op de server kan ik ook zien dat de gebruiker via VPN is ingelogd

[ Voor 5% gewijzigd door dude88 op 05-01-2006 18:13 ]

Acties:

donderdag 5 januari 2006 20:05

Yes I can!

RPC-over-HTTP is idd de makkelijkste oplossing. Wel ff rommelen maar dan heb je ook wat

Configure RPC over HTTP/S on Exchange 2003 (single server scenario)

Wees consequent, maar niet altijd

Acties:

Verwijderd

Maar da's niet wat TS wil, die wil een machine in een domein hangen waar ie met een VPN naartoe is geconnect

Overigens werkt het als een speer als het eenmaal goed opgezet is

vrijdag 6 januari 2006 10:09

Acties:

vrijdag 6 januari 2006 10:24

Officieel moto fan :)

dude88 schreef op donderdag 05 januari 2006 @ 18:12:
na een tijdje komt de volgende foutmelding:
kan het netwerkpad niet vinden.

ik heb verschillende gebruikers geprobeerd.

Vermoedelijk heb je een fout in je DNS servers - kan je (als je met nslookup aan de slag gaat) wel bv. domain.local resolven?

Acties:

schiffeb

Kijk ook ff of je lokaal een firewall aan hebt staan dit kan ook wat drama veroorzaken.

vrijdag 6 januari 2006 12:32

Acties:

vrijdag 6 januari 2006 12:37

Topicstarter

op de client heb ik de firewall uitgezet.

voor de zekerheid heb ik beide PC even in de DMZ gezet van de routers.
bij de server staat een linksys WRT54G hier staat VPN enabled.
bij de client een Drytek Vigor 2200E volgens mij moet deze standaard ook VPN ondersteunen.

als ik nslookup NAAM.local doe dan kan die het domein niet vinden, bestaat niet zegt die.

moet er op de client of op de server aan de DNS veranderd worden?

Acties:

XthinkZ

+3 Geniaal. :p

People who want a much easier solution without having to worry about firewalls, NAT, opening ports, installing a program or remembering IP adresses.. Try:

www.logmein.com

Add your comp to an account, and use any internet browser with internet to remote control your computer, you're at home? work? or internet cafe? just go to the site, log in, and control any pc that's added to your account.
Need extra security? use the personal password option which is even safe against keyloggers or screenshotmakers. Pro version is perfect for servers and has all the options you can think of, but the free version is ussually enough for most people. Try it.

Afbeeldingslocatie: http://img230.imageshack.us/img230/2993/logmein4if.jpg

Werkt ook gewoon met domeinen.

Hmmm, als je hamachi als een service instelt kan je ook direct bij het inloggen op je domein inloggen. Ook voor Hamachi.cc geldt dat je geen gezeik met NAT, Firewalls portforwarding en ip adressen te maken hebt en hamachi ten opzichte van standaard VPN ook nog ip broadcasting kan en dus ook geschikt is voor LAN games over het internet.. Heel erg simpel dus.

Hier een handleiding:
http://www.slobokan.com/a...ing-hamachi-as-a-service/

[ Voor 75% gewijzigd door XthinkZ op 06-01-2006 13:09 ]

vrijdag 6 januari 2006 13:43

Acties:

Verwijderd

dude88 schreef op vrijdag 06 januari 2006 @ 12:32:
op de client heb ik de firewall uitgezet.

voor de zekerheid heb ik beide PC even in de DMZ gezet van de routers.
bij de server staat een linksys WRT54G hier staat VPN enabled.
bij de client een Drytek Vigor 2200E volgens mij moet deze standaard ook VPN ondersteunen.

als ik nslookup NAAM.local doe dan kan die het domein niet vinden, bestaat niet zegt die.

moet er op de client of op de server aan de DNS veranderd worden?

zoals ik al zei, je moet zorgen dat je voordat je inlogt op windows een vpn verbinding hebt naar de dc, anders kan je nooit inloggen op het domain. je bent immers al ingelogd op je xp bak met een lokaal account.

vrijdag 6 januari 2006 14:50

Acties:

schiffeb

Verwijderd schreef op vrijdag 06 januari 2006 @ 13:43:
[...]

zoals ik al zei, je moet zorgen dat je voordat je inlogt op windows een vpn verbinding hebt naar de dc, anders kan je nooit inloggen op het domain. je bent immers al ingelogd op je xp bak met een lokaal account.

Als je echt wil inloggen op het domain dan moet je de pc eerst in het domain hangen voordat dat gaat lukken.
Mogelijkheid hiervoor is meenemen naar lokale lan anders aankoppelen op domain name maar dan zal je denk ik je hosts file aan moeten passen omdat dns resolving nog niet werkt. Heb je wel Domain admin account nodig.

Inloggen vervolgens op domain kan alleen als je eerst VPN opzet zoals eerder aangegeven.

Maar waarom aanloggen op domain? Je hebt een VPN dus je kan ook met shares werken en exchange aanlogen.

donderdag 9 februari 2006 19:00

Acties:

donderdag 9 februari 2006 20:29

Topicstarter

het alweer even geleden maar ben nog nog even naar mijn probleem aan het kijken.

situatie is nu:

ik kan VPN verbinding opbouwen, maar ik kan er nog niets over doen.
ik kan ook niet bij de shares van de server komen.

waar kan ik nog naar kijken?

Acties:

donderdag 9 februari 2006 21:14

Yes I can!

FTP!

Wees consequent, maar niet altijd

Acties:

donderdag 9 februari 2006 22:11

Topicstarter

Ook schreef op donderdag 09 februari 2006 @ 20:29:
FTP!

wat bedoel je precies

Acties:

Zwelgje

Ook schreef op donderdag 09 februari 2006 @ 20:29:
FTP!

daarmee is het mij nog nooit gelukt om op een domain in te loggen extern...

kan je via \\ipadress bij de share komen

[ Voor 23% gewijzigd door Zwelgje op 09-02-2006 22:13 ]

A wise man's life is based around fuck you

donderdag 9 februari 2006 22:19

Acties:

maandag 20 februari 2006 18:08

Yes I can!

Ouch, door de leeftijd van het topic ff vergeten dat het ook echt om domein aanmelden ging

Voor file-sharing only is FTP namelijk wel een aardige oplossing, maar heb je voor andere zaken inderdaad weinig aan.. excusez moi!

PS: Heb je Hamachi nou al geprobeerd? Echt simpele manier voor een VPN connectie; ik heb het geprobeerd tussen 2 PC's, beiden achter een router, beiden geen extra poorten geforward, en ik had direct volledige connectie! Bij grote (bedrijfs) netwerken heb je vaak dat uitgaand verkeer op het meerendeel van de poorten ook geblocked wordt maar normaal gesproken werkt het naadloos!

[ Voor 46% gewijzigd door Ook op 09-02-2006 22:22 ]

Wees consequent, maar niet altijd

Acties:

maandag 20 februari 2006 21:26

Topicstarter

eigenlijk wil ik nudat ik zover ben dat de client verbinding kan maken via MS software dit ook gebruiken.

op de server kan ik ook bij RAS zien dat er een client verbonden is e.d.
als ik op de client ping naar het IP van de server (VPN IP) dan krijg ik geen antwoord.
het wordt ergens tegen gehouden lijkt me, maar ik kom er nog niet uit waar...

ik heb de server en client in de DMZ van de router gegooit zodat er eigenlijk niets mag tussen zitten
P.S. welke poort wordt er gebruikt voor VPN verbinding?

Acties:

maandag 20 februari 2006 22:34

ye olde farte

1723TCP en (best belangrijk) protocol 47, GRE.

maar dat werkt al als je wel een inbelverbinding kan maken.

Heb je ook al eens geprobeerd de Vigor 2200 een inbelverbinding op de 2003 Server te laten maken?
Vervolgens zou je door de AD DNS server even hard in te tikken ook je PC via de VPN in het domain kunnen hangen.
Of je moet handig genoeg zijn om de VPN verbinding dusdanig te configureren dat ie ook @ logon gebruikt kan worden

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

500 udp is ook een gebruikte poort voor VPN !!

dus 500 udp en 1723 tcp !

maandag 20 februari 2006 22:40

Acties:

vrijdag 24 februari 2006 09:59

ye olde farte

Verwijderd schreef op maandag 20 februari 2006 @ 22:34:
500 udp is ook een gebruikte poort voor VPN !!

Mja, IPsec ja.
Lijkt me niet dat TS zich daar in heeft verdiept.
Magoed, als we dan toch bezig zijn, zet er dan ook maar 4500 UDP bij (NAT-T).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 24 februari 2006 12:53

Topicstarter

ik heb geprobeerd met me vigor in te loggen.

inloggen gaat goed.
ik kan vanaf de server de vigor pingen

(dat kan ik niet als ik met een PC inlog)
ik kan vanaf een pc helaas nog steeds niet op de server komen of er naar toe pingen.

als ik bij de server locaal inlog met een PC kan ik wel beide kanten op pingen naar de VPN IP adressen.

zoals ik het nu zie wordt het bij de vigor tegen gehouden?

wat kan dat nog zijn..?

Acties:

Verwijderd

Verwijderd schreef op maandag 20 februari 2006 @ 22:34:
500 udp is ook een gebruikte poort voor VPN !!

dus 500 udp en 1723 tcp !

500udp is hier niet van toepassing omdat Microsoft PPTP vpn doet, 500udp is voor IPSEC vpn's.

VPN Config
Je moet je client policy op de RRAS server configureren zodat die een DHCP adres krijgen van je server. Je hebt een server, dus ik zou de DHCP op de server configgen en niet op de Linksys router. Van zodra je DHCP op de windows server goed is ingesteld en je je RRAS policy hebt aangepast dat die een DHCP adres krijgt van de server komt alles goed. Ik vermoed namelijk niet dat jij je interne server als DNS server gebruikt ...

Grtz,
Thanis

vrijdag 24 februari 2006 17:46

Acties:

vrijdag 24 februari 2006 18:43

Topicstarter

op dit moment is de linksys router DHCP
op de server is wel DNS server geinstalleerd en geen DHCP server.

wat moet ik precies in de policy aanpassen, en waar kan ik dat doen?

Acties:

vrijdag 24 februari 2006 20:06

Yes I can!

Je moet via Administrative tools naar "Routing and Remote Access" gaan en daar instellen (bij je server properties) dat je server zelf als DHCP server fungeert voor de inkomende VPN verbindingen. Je kan dan een aparte reeks IP adressen opgeven die de server kan gebruiken voor z'n clients. Gebruik minimaal een range van 2 IP adressen want de server's VPN client adapter pakt er ook 1!

Zo heb ik het bv ingesteld staan:
Afbeeldingslocatie: http://dump.ookonline.com/Routing_and_Remote_Access.png

Afbeeldingslocatie: http://dump.ookonline.com/Routing_and_Remote_Access.png

Wees consequent, maar niet altijd

Acties:

woensdag 8 maart 2006 16:31

Topicstarter

ik heb het nu ook zo ingesteld, maar dat geeft precies hetzelfde probleem...

ik heb nog even iets geprobeerd.
bij RRAS kan je zien welke clients er ingelogd zijn.
dan kan je kiezen voor bericht verzenden.

in het eerste geval kreeg ik de melding dat je messenger functie op de client uitgeschakeld stond.
deze heb ik dus ingeschakeld.

daarna kreeg ik de melding dat de naam van me PC niet gevonden kon worden.

mijn conclusie is dat er toch enige vorm van een verbinding is anders kan de server dit niet uitlezen.

iemand een idee waar een blokkade nog kan zitten?

Acties:

donderdag 20 april 2006 22:39

Topicstarter

vandaag nog even met een notebook direct op het internet geprobeerd (zonder router of firewall)

weer hetzelfde probleem, wel verbinding kunnen maken, maar niet kunnen pingen naar de server (IP van de VPN server)

waar kan ik nog naar kijken?

Acties:

sanoj

sorry voor de bump, maar ik heb net hetzelfde probleem,wat is hiervoor de oplossing ?

donderdag 20 april 2006 22:45

Acties:

donderdag 20 april 2006 22:47

Officieel moto fan :)

Heb je dit topic uberhaupt wel doorgelezen? Er staan toch een heleboel tips en hints in, wat heb je daar al mee gedaan dan?

Acties:

sanoj

allemaal geprobeert

Het probleem : de externe pc kan inbellen maar ik kan niet naar hem pingen en hij niet naar mij
hij nogtans een ip gekregen

donderdag 20 april 2006 22:54

Acties:

woensdag 3 mei 2006 09:13

Officieel moto fan :)

Open dan maar even een eigen topic waarin je genoeg informatie geeft over je setup (wat gebruik je aan beide kanten, wat gaat er goed, welke ip addressen, etc) en waarin je hoofdletters gebruikt

Acties:

woensdag 3 mei 2006 12:45

Topicstarter

gister heb ik me maar even verdiept in Hamachi.
ook direct ingesteld als service en dat werkt ook prima

nu wou ik natuurlijk de PC op de externe lokatie in het domein zetten.
(kan dus prima bij shares met gebruikersnaam + ww)
maar dan kan de PC het domein niet vinden.

dit verbaast me niet, aangezien deze PC geen DHCP krijgt van de server, dus de DNS instellingen staan ook niet goed ingesteld..
nu heb ik natuurlijk 2 netwerkkaarten aangezien Hamachi er ook 1 aanmaakt + je hardwarematige NIC

bij welke van de 2 kaarten moet ik de DNS instellingen (handmatig) goedzetten dat deze met de server verbind??

Acties:

paella

of je zet wat in je hosts file?

No production networks were harmed during this posting

woensdag 3 mei 2006 15:52

Acties:

woensdag 3 mei 2006 18:16

Topicstarter

paella schreef op woensdag 03 mei 2006 @ 12:45:
of je zet wat in je hosts file?

hoe bedoel je precies?

waar staan deze files?

Acties:

woensdag 3 mei 2006 19:44

Topicstarter

het volgende even geprobeerd:

mijn server krijg via Hamachi een 5.X.X.X adres in een subnetmask van 255.0.0.0

met de client kan ik nu dus via internet op de server komen via Hamachi.
ik kan gewoon op elke share e.d. komen en files kopieeren.

nu wil ik de PC dus in het domein hangen.
aangezien Hamachi met 5.X.X.X adressen werkt neem ik ook aan dat het 5.X.X.X van de server mijn DNS moet zijn..
ik heb dus geprobeerd op de Hamachi NIC (virtuele NIC dus) een DNS adres toe te voegen (IP van mijn server)

als ik dan de PC in het domein probeer te hangen krijg ik dus de fout dat de DNS verwijzing niet goed staat..
ik heb ook geprobeerd op mijn LAN kaart hetzelfde DNS adres te geven maar ook zonder resultaat.
(leek me ook logisch aangezien dit in een compleet andere range werkt 255.255.255.0)
hoe krijg ik nu Windows zover dat hij begrijpt dat ze via de VPN DNS adres de server opzoekt?

Acties:

woensdag 3 mei 2006 20:23

Yes I can!

Even voor de duidelijkheid/zekerheid, wil je nu een 'verse' PC joinen aan het domeinen? Of wil je op het domein inloggen vanaf een PC die reeds lid is van het domein?

Wees consequent, maar niet altijd

Acties:

donderdag 4 mei 2006 20:59

Topicstarter

een "verse" PC

de PC zit nu dus gewoon in een werkgroep, en wil ik dus via tabblad computernaam in het domein zetten

Acties:

sanfranjake

Computers can do that?

De vpnverbinding moet er ten aller tijde zijn, en naast 3389 voor rdp zal je een boel meer open moeten zetten. Denk aan ldap, secure ldap, gc ldap, gc ldap secure, wins, dns, rpc, smb...... Dit artikel geeft je een idee van waar je ongeveer aan moet denken, ik kon even niks beters vinden

How to configure Windows 2003 SP1 firewall for a Domain Controller

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 4 mei 2006 22:19

Acties:

donderdag 4 mei 2006 22:21

ye olde farte

sanfranjake schreef op donderdag 04 mei 2006 @ 20:59:
De vpnverbinding moet er ten aller tijde zijn, en naast 3389 voor rdp zal je een boel meer open moeten zetten. Denk aan ldap, secure ldap, gc ldap, gc ldap secure, wins, dns, rpc, smb......

Reden genoeg om een logon puur over internet dus niet te doen toch?
Zet er dan geen firewall voor.
Denk alleen dat je DC dan niet lang jouw DC blijft

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

sanfranjake

Computers can do that?

Mja ik heb dan denk ik ergens het zonder vpn gemist

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 4 mei 2006 22:49

Acties: