[WIN 2003 SBS] Computer aanmelden in domein via VPN

zaterdag 15 december 2007 11:20

Acties:

0 Henk 'm!

Topicstarter

He allemaal,

Graag zou ik een extern werkstation bij ons op kantoor laten inloggen op het domein via VPN.

Nu heb ik hier op het forum al lopen zoeken en via google maar krijg het maar niet goed helder hoe dit nou moet.

De VPN verbinding zal dan toch eerst opgezet moeten worden normaliter voordat je in kan loggen.. alleen hoe zorg je dat een VPN al opgebouwd wordt voordat iemand ingelogd is? VPN client zal al voordat windows opgestart is verbinding opgezet moeten hebben.

En hoe doe je dat als een computer extern nog niet in het domein hangt..

Mocht er iemand beter zijn in zoeken en wel een artikel of topic weten waar dit goed uitgelegd staat...

Thanx alvast!

zaterdag 15 december 2007 12:57

Acties:

0 Henk 'm!

Verwijderd

Welke VPN client gebruik je ?
Wanneer je de standaard windows vpn client gebruikt en de vpn verbinding beschikbaar maakt voor alle gebruikers, kan je deze selecteren in het aanmeldscherm.

zaterdag 15 december 2007 12:59

Acties:

0 Henk 'm!

Verwijderd

Met de windows pptp vpn client kan je een vpn opzetten met je server vanuit een willekeurige pc om vervolgens diezelfde pc in het domein te hangen. Ik snap het probleem niet helemaal dus wellicht dat je wat toelichting kan geven?

zaterdag 15 december 2007 13:58

Acties:

0 Henk 'm!

cue

Topicstarter

Hier komt de toelichting

.

Eigenlijk wil ik dat de gebruikers van het werkstation geen verschil merken tussen het aanmelden op het lokale netwerk of dat het werkstation via internet met het netwerk verbonden is.

Als windows opgestart wordt dat er dan dus al een VPN verbinding gemaakt is met de server en dat de gebruiker gewoon kan inloggen op het domein.

Eigenlijk dus gewoon hetzelfde dat er twee routers een Lan-to-Lan VPN verbinding op hebben gebouwd en er continu verbinding is tussen de twee netwerken. (deze optie is helaas niet mogelijk).

Als de internet er bijvoorbeeld uit ligt en er geen VPN opgebouwd kan worden dat de gebruiker dan vanuit het windows aanmeld scherm gewoon kan kiezen om opnieuw te verbinden.

Kortom... eerst VPN opbouwen met server en dan pas inloggen op het domein..

Anders kunnen settings / policy's e.d. toch ook niet toegepast worden op deze gebruiker?

Hoop dat het wat duidelijker is zo..

[ Voor 20% gewijzigd door cue op 15-12-2007 14:00 ]

zaterdag 15 december 2007 14:01

Acties:

0 Henk 'm!

djluc

Gewoon dat vinkje aanzetten lost je probleem op. Policies e.d. worden dan gewoon toegepast.

zaterdag 15 december 2007 14:09

Acties:

0 Henk 'm!

cue

Topicstarter

djluc schreef op zaterdag 15 december 2007 @ 14:01:
Gewoon dat vinkje aanzetten lost je probleem op. Policies e.d. worden dan gewoon toegepast.

Kan je misschien iets duidelijker zijn dan "dat vinkje"

. Heb even gekeken en kan alleen wat vinden bij "deze verbinding delen".

zaterdag 15 december 2007 14:26

Acties:

0 Henk 'm!

alt-92

ye olde farte

Aanmelden met inbelverbinding dus

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 15 december 2007 15:09

Acties:

0 Henk 'm!

cue

Topicstarter

zooo goeiemorgen

daar heb ik even goed overheen gekeken. Thanx.

Probleem zit 'm nu in het uidelen van IP adressen.

Situatie is alsvolgt.

Heb SBS 2003 die via ene Draytek vigor 2700v aan het internet hangt.

Nu probeer ik met het werkstation een VPN verbinding op te bouwen met de draytek om vervolgens in te loggen op het SBS domein.

Hier gaat alleen nog iets mis met DNS heb ik het gevoel.

Ik log lokaal in als administrator op het werkstation. Maak de VPN verbinding aan richting de vigor.

Maak verbinding.. dit gaat allemaal prima.

Vervolgens ga ik naar eigenschappen deze computer en probeer ik het werkstation aan te melden bij het domein...

Hier gaat het alleen mis.

heb het gevoel dat die Vigor ip adres uitdeelt i.c.m. de dns van het SBS domein niet lekker werkt.

domein.local kan hij namelijk niet vinden.

Heb de ip range die die vigor uitdeelt in dezelfde range zitten als de lokale adressen binnen het SBS domein.

Iemand een suggestie?

zaterdag 15 december 2007 15:16

Acties:

0 Henk 'm!

alt-92

ye olde farte

cue schreef op zaterdag 15 december 2007 @ 15:09:
zooo goeiemorgen daar heb ik even goed overheen gekeken. Thanx.

heb het gevoel dat die Vigor ip adres uitdeelt i.c.m. de dns van het SBS domein niet lekker werkt.
domein.local kan hij namelijk niet vinden.

Dat klopt, want je gebruikt de DNS forwarder van de draytek op dat moment.

Iemand een suggestie?

Geef de SBS DNS server op in de VPN IP settings

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 15 december 2007 15:18

Acties:

0 Henk 'm!

cue

Topicstarter

aah kak je bent met net voor

dat werkt inderdaad

Denk dat dit de makkelijkste oplossing is zo of is er een mogelijkheid om de SBS als DHCP server te laten werken via die draytek?

zaterdag 15 december 2007 16:24

Acties:

0 Henk 'm!

alt-92

ye olde farte

Zolang je alleen in de VPN connectie de DNS ingesteld hebt, zal die ook alleen bij de verbinding worden gebruikt.

Je zou als alternatief kunnen kijken of je voor een VPN verbinding ook een DHCP relay agent kan instellen op de Draytek, maar vroeger kon dat in ieder geval niet.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 16 december 2007 23:04

Acties:

0 Henk 'm!

Verwijderd

alt-92 schreef op zaterdag 15 december 2007 @ 15:16:
[...]

[...]

Dat klopt, want je gebruikt de DNS forwarder van de draytek op dat moment.

[...]

Geef de SBS DNS server op in de VPN IP settings

Zou ik dit topic is mogen stelen om ook een vraagje hierover te stellen :-).
Op het werk hebben wij ook problemen met dns via VPN. Hij neemt de dns van die mensen hun isp thuis waardoor sommige zaken niet werken bij ons. We hebben hier een vb-script voor dat die mensen nu gebruiken zodat deze mensen wel hun werk via thuis kunnen doen :

"\Device\{4C21FD49-6EC5-47A2-96FC-7BC0F3E49466}
\Device\{C4A9BEF7-0CD5-4715-B59B-429A5275123E}
\Device\NdisWanIp
\Device\{87FBCEE3-9203-4045-91C6-DE511A694092}
\Device\{67627FFA-406A-4EC8-B66C-E36B458E461B}

\Device\NdisWanIp
\Device\{4C21FD49-6EC5-47A2-96FC-7BC0F3E49466}
\Device\{C4A9BEF7-0CD5-4715-B59B-429A5275123E}
\Device\{87FBCEE3-9203-4045-91C6-DE511A694092}
\Device\{67627FFA-406A-4EC8-B66C-E36B458E461B}

\Device\NdisWanIp wordt dus in het register bovenaan gezet en dan kunnen deze mensen alles doen. Jij spreekt over "Geef de SBS DNS server op in de VPN IP settings :)", kan je me vertellen waar ik dit instel ?

zondag 16 december 2007 23:27

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Let ook op : http://blogs.technet.com/...nts-at-a-remote-site.aspx

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zondag 16 december 2007 23:29

Acties:

0 Henk 'm!

alt-92

ye olde farte

Verwijderd schreef op zondag 16 december 2007 @ 23:04:
Op het werk hebben wij ook problemen met dns via VPN. Hij neemt de dns van die mensen hun isp thuis waardoor sommige zaken niet werken bij ons.
[....]
Jij spreekt over "Geef de SBS DNS server op in de VPN IP settings :)", kan je me vertellen waar ik dit instel ?

Geen idee of je split tunneling gebruikt, met client PPTP, of ipsec tunnels.....
Effecten kunnen dus overal anders voor zijn.

Maar goed: als je PPTP VPNs gebruikt: kijk eens naar CMAK (standaard niet geinstalleerd, toevoegen via add/remove programs > windows components).
Daar kun je effectief al een voorgeconfigureerde verbinding (connectoid) mee klaarzetten voor distributie naar je endusers. Klikkerdieklik en klaar.

Als ik me goed herinner pas je trouwens met die registry edit de binding order van je interfaces aan.
Is ook een manier, maar liever voorkom ik dat ik clientside in andermans registry moet gaan lopen klooien - tenzij het company PCs zijn natuurlijk.

sanfranjake schreef op zondag 16 december 2007 @ 23:27:
Let ook op : http://blogs.technet.com/...nts-at-a-remote-site.aspx

Dat zijn dus de momenten waarop ik persoonlijk de SBS wizard-style van harte vervloek uit het diepst van m'n tenen vandaan zegmaar

offtopic:
Ik heb die SBS login scripts tot nu toe altijd ontdaan van software installatiemeuk en andere grappen en lekker via GPOs laten regelen.

[ Voor 20% gewijzigd door alt-92 op 16-12-2007 23:33 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 16 december 2007 23:32

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

alt-92 schreef op zondag 16 december 2007 @ 23:29:

Maar goed: als je PPTP VPNs gebruikt: kijk eens naar CMAK (standaard niet geinstalleerd, toevoegen via add/remove programs > windows components).

Op SBS wordt via de wizard externe toegang al een file klaargezet op de Remote Web Workspace

ts: https://sbsdomain/remote, aanvinken dat het een privecomputer is, vervolgens "Verbindingsbeheer downloaden".

[ Voor 13% gewijzigd door sanfranjake op 16-12-2007 23:33 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 17 december 2007 00:36

Acties:

0 Henk 'm!

Verwijderd

alt-92 schreef op zondag 16 december 2007 @ 23:29:

Als ik me goed herinner pas je trouwens met die registry edit de binding order van je interfaces aan.
Is ook een manier, maar liever voorkom ik dat ik clientside in andermans registry moet gaan lopen klooien - tenzij het company PCs zijn natuurlijk.

[/quote]

Inderdaad, je past de binding order aan. We gebruiken hier nu een vb-script voor lokaal maar we gaan dit laten draaien in de achtergrond als een user inlogd. Indien dit op de vpn-client zelf kan worden ingesteld dan is dit script ook niet nodig. Ik kan nu niet helemaal volgen maar ik ga het morgen in de dag eens rustig lezen wat je allemaal geschreven hebt. Bedankt voor de reply hé, je kent je vak echt goed.

Onderwerpen