Active Directory thuis inloggen op het werk - Serversoftware en clouddiensten

woensdag 6 maart 2013 23:25

Acties:

LD1995

Topicstarter

Ik beheer bij het bedrijf van mijn vader de Active Directory (Win2K8 R2), nu wil ik het zo maken dat hij vanaf thuis direct in kan loggen op het werk (liefst niet RDP).
Ik dacht zelf aan VPN maar weet niet precies hoe ik dit moet implementeren.
Weet iemand hier een goede en veilige oplossing voor?

woensdag 6 maart 2013 23:33

Acties:

Shinji

Kan als rol op je server geïnstalleerd worden, heet dan iets als Routing en Remote Access maar dit heb ik zou even niet voor me.

Andere mogelijkheid is een dedicated device die het een en ander hardwarematig afhandeld. Maar ik denk dat je met de ingebouwde optie binnen Windows sneller uit de voeten kan.

//edit
Dit dus: http://geekyprojects.com/...n-windows-server-2008-r2/

[ Voor 15% gewijzigd door Shinji op 06-03-2013 23:34 ]

woensdag 6 maart 2013 23:39

Acties:

LD1995

Topicstarter

Dat had ik zelf ook al gevonden maar toch bedankt, weet je misschien ook of dat ik als ik VPN ingesteld hebt op het werkstation (thuis) dat ik me dan kan aanmelden als DOMAIN\Username?

woensdag 6 maart 2013 23:43

Acties:

Duinkonijn

Huh?

als de vpn server verbonden is met de AD, kan dat

Afbeeldingslocatie: http://images.pcworld.com/howto/graphics/210562-out-step6_original.gif

bij username domainname\username invullen en domein leeg laten

[ Voor 20% gewijzigd door Duinkonijn op 06-03-2013 23:44 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 6 maart 2013 23:50

Acties:

LD1995

Topicstarter

Oke dat is mooi en moet de pc dan ook in het domein zijn opgenomen niet in workgroup maar domein dus?

woensdag 6 maart 2013 23:55

Acties:

Turdie

DirectAccess FTW of RRAS met SSTP, dan blijft het ook veilig. Of Remote Desktop Services aanzetten en via RDP inloggen.

[ Voor 76% gewijzigd door Turdie op 07-03-2013 00:04 ]

donderdag 7 maart 2013 00:07

Acties:

LD1995

Topicstarter

Oke Direct Acces vs VPN, welke is hierbij de beste/veiligste?

Edit: Ik ga toch voor VPN denk ik want voor DA moet ik IPv6 tunneling gebruiken en VPN is dus makkelijker te configureren.

Edit 2: * Een of meer DirectAccess servers draaien Windows Server 2008 R2 met twee network adapters: een daarvan is direct verbonden met internet, en een tweede is verbonden met het intranet.

* Op de DirectAccess server zijn minstens twee opeenvolgende IPv4 adressen toegewezen aan de netwerk adapter die is verbonden met het internet.

* DirectAccess clients draaien Windows 7.

* Minstens één domain controller en DNS server draaien Windows Server 2008 SP2 of Windows Server 2008 R2.

* Een public key infrastructuur (PKI) voor het uitdelen van computer certificaten, smart card certificaten en, voor NAP, health certificaten.

* IPsec policies om de bescherming van verkeer te specificeren.

* IPv6 transition technologieën die beschikbaar zijn voor het gebruik op de DirectAccess server: ISATAP, Teredo en 6to4

* Optioneel is een third party NAT-PT apparaat om DirectAccess clients toegang te verlenen tot IPv4-only bronnen.

Daarom voor VPN

[ Voor 122% gewijzigd door LD1995 op 07-03-2013 00:19 ]

donderdag 7 maart 2013 06:07

Acties:

JeroenV_

Waarom niet RDP via een rds gateway?
Dan kom je over 443 (ssl) binnen.

donderdag 7 maart 2013 06:50

Acties:

CMD-Snake

JeroenV_ schreef op donderdag 07 maart 2013 @ 06:07:
Waarom niet RDP via een rds gateway?
Dan kom je over 443 (ssl) binnen.

Werken via een terminal server kost je wel RDS CALs. Kan duur worden. Een VPN verbinding is makkelijker te configureren dan een RDS gateway.

TS moet overigens niet vergeten om zijn portforwarding goed te zetten op zijn modem zodat de VPN poort ook uitkomt bij de VPN server. Let ook op wat je externe IP is en verzeker je ervan of dit een statisch IP is. Soms als een bedrijf een consumenten internet verbinding heeft wil het IP adres nog wel eens dynamisch zijn.

donderdag 7 maart 2013 08:14

Acties:

Oogje

LD1995 schreef op woensdag 06 maart 2013 @ 23:50:
Oke dat is mooi en moet de pc dan ook in het domein zijn opgenomen niet in workgroup maar domein dus?

De pc thuis moet je niet in het domein opnemen tenzij je een lan-2-lan VPN hebt. Anders kan het werkstation niet inloggen, omdat je pas na het inloggen de VPN opzet.

Any errors in spelling, tact, or fact are transmission errors.

donderdag 7 maart 2013 08:41

Acties:

LD1995

Topicstarter

Oogje schreef op donderdag 07 maart 2013 @ 08:14:
[...]

De pc thuis moet je niet in het domein opnemen tenzij je een lan-2-lan VPN hebt. Anders kan het werkstation niet inloggen, omdat je pas na het inloggen de VPN opzet.

En hoe realiseer ik me een lan-2-lan VPN?

En over het IP gebeuren, dat regel ik via DDNS.

donderdag 7 maart 2013 09:03

Acties:

CMD-Snake

Oogje schreef op donderdag 07 maart 2013 @ 08:14:
De pc thuis moet je niet in het domein opnemen tenzij je een lan-2-lan VPN hebt. Anders kan het werkstation niet inloggen, omdat je pas na het inloggen de VPN opzet.

lan-2-lan lijkt me niet nodig. Je laptop moet een keer aan het netwerk hebben gehangen zonder VPN. Dan kan je de gebruikers credentials cachen. Volgende keer thuis log je in op de machine en log je dan in via de cached credentials. Daarna maak je de VPN verbinding. Werkt prima. En mocht je het echt willen, gebruik dan lekker de optie "login using dial-up". Je laptop zal dan eerst de VPN verbinding maken en daarna kan de gebruiker inloggen. Bij Windows XP is die optie nog zichtbaar op het CTRL+ALT+DEL scherm, bij Windows Vista/7 zit die wat meer verstopt:

http://www.baudlabs.com/archives/100

Enige minpunt van bovenstaande is dat nieuwe policy's niet geladen worden, althans niet direct. Maar wederom, als de machine toch regelmatig ook op de zaak inlogt direct aan het netwerk zie ik daar ook geen problemen.

donderdag 7 maart 2013 09:07

Acties:

CMD-Snake

LD1995 schreef op donderdag 07 maart 2013 @ 08:41:
En over het IP gebeuren, dat regel ik via DDNS.

Niet echt ideaal imho. Zakelijk internet hoeft niet altijd duurder te zijn dan een consumenten verbinding, maar heeft wel zijn voordelen. Namelijk een vast IP.

Je zit dus op een consumentenlijntje, controleer ook of je modem alles ondersteund voor de VPN verbinding. De heel el cheapo modems zijn vaak dicht getimmerd door de ISP's waardoor je dingen als portforwarding niet kan configureren. Zakelijke verbindingen worden vaak geleverd met betere modems waar je zelf meer kan configureren.

donderdag 7 maart 2013 11:14

Acties:

LD1995

Topicstarter

CMD-Snake schreef op donderdag 07 maart 2013 @ 09:07:
[...]

Niet echt ideaal imho. Zakelijk internet hoeft niet altijd duurder te zijn dan een consumenten verbinding, maar heeft wel zijn voordelen. Namelijk een vast IP.

Je zit dus op een consumentenlijntje, controleer ook of je modem alles ondersteund voor de VPN verbinding. De heel el cheapo modems zijn vaak dicht getimmerd door de ISP's waardoor je dingen als portforwarding niet kan configureren. Zakelijke verbindingen worden vaak geleverd met betere modems waar je zelf meer kan configureren.

Ik denk dat het dan toch maar beter is om het om te laten zetten naar zakelijk glasvezel. Er wordt nu een zakelijke adsl lijn gebruikt maar er ligt al glasvezel (kpn consumenten abonnement) maar daar zit ik vast aan een Arcadyan router/modem met de dichtgetimmerde KPN firmware en ik geloof dat ook poort 25 standaard dicht staat aan de ISP kant en aangezien er ook Exchange draait werkt dat dus niet. Ik ga denk ik gewoon de standaard VPN in Windows Server gebuiken en dan inloggen op de manier van Duinkonijn.

donderdag 7 maart 2013 11:24

Acties:

Bockelaar

zakelijke verbindingen openen echt poort 25 hoor

Remember: A CRAY is the only computer that runs an endless loop in just 4 hours...

donderdag 7 maart 2013 11:28

Acties:

LD1995

Topicstarter

Bockelaar schreef op donderdag 07 maart 2013 @ 11:24:
zakelijke verbindingen openen echt poort 25 hoor

Ja zakelijk wel ja maar als je op een consumenten lijn zit dan staat dat dicht tegen spam geloof ik.

donderdag 7 maart 2013 12:33

Acties:

CMD-Snake

LD1995 schreef op donderdag 07 maart 2013 @ 11:14:
[...]

Ik denk dat het dan toch maar beter is om het om te laten zetten naar zakelijk glasvezel. Er wordt nu een zakelijke adsl lijn gebruikt maar er ligt al glasvezel (kpn consumenten abonnement) maar daar zit ik vast aan een Arcadyan router/modem met de dichtgetimmerde KPN firmware en ik geloof dat ook poort 25 standaard dicht staat aan de ISP kant en aangezien er ook Exchange draait werkt dat dus niet. Ik ga denk ik gewoon de standaard VPN in Windows Server gebuiken en dan inloggen op de manier van Duinkonijn.

Bij een zakelijke verbinding kan poort 25 opengezet worden op verzoek. Default is dicht, dit om de veiligheid. Echter is dit alles bij een zakelijke verbinding ook eigen risico. Als jouw mail server spamt sluiten ze je dan gewoon af. Op een consumentenlijn is poort 25 open een taboe.

Je modem is afhankelijk van de ISP. Zakelijke abo's hebben doorgaans geen dicht getimmerd modem, zeker als je een abo hebt waar je er servers achter kan hangen.

Heb je toevallig een SBS bak draaien? Dan is VPN opzetten echt een kwestie van paar vinkjes zetten en klaar.

donderdag 7 maart 2013 13:14

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

LD1995 schreef op woensdag 06 maart 2013 @ 23:25:
Weet iemand hier een goede en veilige oplossing voor?

LD1995 schreef op woensdag 06 maart 2013 @ 23:39:
weet je misschien ook of dat ik als ik VPN ingesteld hebt op het werkstation (thuis) dat ik me dan kan aanmelden als DOMAIN\Username?

LD1995 schreef op woensdag 06 maart 2013 @ 23:50:
Oke dat is mooi en moet de pc dan ook in het domein zijn opgenomen niet in workgroup maar domein dus?

LD1995 schreef op donderdag 07 maart 2013 @ 00:07:
Oke Direct Acces vs VPN, welke is hierbij de beste/veiligste?

LD1995 schreef op donderdag 07 maart 2013 @ 08:41:
[...]
En hoe realiseer ik me een lan-2-lan VPN?

Ik lees heel veel vragen van de kant van TS, maar zie eigenlijk wat te weinig eigen inzet. Het enige wat je wel zelf opgezocht hebt is DA vs. VPN, maar ook de andere zaken zijn relatief eenvoudig uit te zoeken.

Bovendien mist er nog wel het enige aan informatie:

Met wat voor device wil je vanuit huis kunnen inloggen?
Hoe is eea aan internet verbonden?
Waar moet je vader precies toegang tot hebben? Enkel mail of wil hij ook bedrijfsapplicaties kunnen gebruiken?

Ik kijk het topic nog even aan, maar verwacht in de volgende posts wel iets meer eigen inzet...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 7 maart 2013 15:34

Acties:

LD1995

Topicstarter

Server (Windows Server 2008 R2) zit op 16 poorts unmanaged switch.
Switch zit op Zyxel ADSL router/modem.
WAN-verbinding naar ISP (KPN zakelijk).
WAN-verbinding ISP naar huis (KPN glasvezel).
Router/modem thuis is zon verrotte Arcadyan met dichtgetimmerde verrotte firmware van KPN.
Die zit direct met kabel op werstation thuis met Windows 7 Prof.

Nu wil mijn vader dus inloggen op de server op de zaak en dus toegang hebben tot zijn files op de Server (Homefolder en Data) en hij wil de bedrijfsapplicatie die als Server/Client werkt en dus draait er een service op de server en 5 clients op de werkstations daar. Nu wou ik direct inloggen op het domein, applicatie installeren en dus moet er een VPN zijn om binnen het netwerk te kunnen komen.

Ik ga er dadelijk heen en stel VPN in en dan ga ik naar huis om te kijken of het werkt. Ik denk ook dat ik nu voldoende voorzien ben in informatie.

donderdag 7 maart 2013 17:16

Acties:

CMD-Snake

LD1995 schreef op donderdag 07 maart 2013 @ 15:34:

• Router/modem thuis is zon verrotte Arcadyan met dichtgetimmerde verrotte firmware van KPN.

Dat maakt niet uit bij je thuismodem. Die hoeft niets wezenlijks te doen hier. De laptop connect naar het externe IP van je vaders bedrijf en daar vindt portforwarding plaats zodat de laptop ook echt met de VPN server contact krijgt.

• Die zit direct met kabel op werstation thuis met Windows 7 Prof.

Zou niets uit moeten maken. Maar eigenlijk verwacht ik toch bij op de zaak en thuiswerken iemand die een laptop meesleept.

Pagina: 1

Reageer