VPN Server in eine Domäne einbinden und Testen einer Einwahl von extern

Dieses Thema VPN Server in eine Domäne einbinden und Testen einer Einwahl von extern im Forum "Windows Server-Systeme" wurde erstellt von Matzel80, 6. Jan. 2005.

Thema: VPN Server in eine Domäne einbinden und Testen einer Einwahl von extern Hey, wer hat Ahnung von Domänen, die über einen zusätzlichen VPN Server (Win 2000 Server/ Win 2003 Server verfügen...

  1. Hey, wer hat Ahnung von Domänen, die über einen zusätzlichen VPN Server (Win 2000 Server/ Win 2003 Server verfügen und kann hier Angaben machen, welche Punkte beim Umsetzen des Ganzen zu beachten sind.

    Mein Konzept ist folgendes:

    Es gibt eine fiktive Domäne mit einem DC (Win 2000 Server/ Win 2003 Server jeweils mit AD) und 15 Workstations (Win 2000 Pro / Win XP Pro), die alle einem WLAN- Router hängen (ich gehe jetzt mal davon aus, dass es einen WLAN-Router mit integriertem Switch für 20 Ports gibt). Der Router verfügt über die handelsüblichen Features (VPN Pass-through; WEP, WAP, Mac-Filter etc.)  Der WLAN ? Router ist an ein handelsübliches ADSL- Modem angeschlossen.

    Darüber hinaus ist in der Domäne ein Mailserver und ein Netzwerkdrucker vorhanden. Nun sollen Mitarbeiter die Möglichkeit erhalten, von zu Hause aus auf Ressourcen (Drucker , Dateien, sein Homeverzeichnis ? damit seine Daten vom Admin mit gesichert werden etc.) der Domäne zu zugreifen (also von extern). Das Ganze soll mittels eines VPNs realisiert werden.
    Dieser VPN-Server soll mittels Win Server / Win 2003 Server realisiert werden. Das ganze Netzwerk befindet sich in einem privaten Klasse C- Netzwerk mit der Netzadresse 192.168.1.x.
    Der Router ist mittels DynDNs immer unter dem gleichen Namen erreichbar.

    Ich habe das ganze Szenario hiermal grafisch dargestellt
    [​IMG]




    Fragen:

    1.)Wie richtet man unter Win 2000 Server konkret einen VPN Server ein

    2.) Muss der VPN Server auf einem separaten Win 2000 / 2003 Server installiert werden oder könnte er mit auf den DC?

    3.) Wie und wo wird auf dem VPN Server festgelegt, dass ein Domänenuser das Recht erhält, sich von extern einwählen kann ? greift der VPN Server auf die Benutzerdatenbank des DCs zu oder muss auf dem VPN Server eine neue Benutzerdatenbank angelegt werden?

    4.)damit man von außerhalb auf die Domänenressourcen zugreifen kann, muss man sich zunächst an dem VPN Server authentifizieren ? welche Ports muss ich in der Firewall des Routers freigeben (Portforwarding) damit die Anfrage an den VPN Server durchgestellt wird?

    5.)was gilt es für denjenigen zu beachten, der sich von außerhalb an dem Server authentifiziert?

    6.)was muss ansonsten beachtet werden?


    Wäre nett, wenn ihr so detailliert wie möglich beschreiben könntet, was zu machen ist, damit das ganze mal anfängerfreundlich aufbereitet wird.

    Thx Matzel
     
  2. Du musst Routing & RAS konfigurieren. Dazu gibt es HIER ein Whitepaper.

    Das geht auch auf dem DC, auch wenn ich (persönlich) nichts davon halte

    Du erstellst zum Beispiel eine Windows-Gruppe (Sicherheit). Dann legst Du im MMC Snapin Routing & Ras fest, das dieser Windows-Gruppe der Zugriff gewährt wird. (einfachstes Beispiel)

    PPTP: 1723/TCP, 47 (GRE - Generic Routing Encapsulation),
    L2TP: 1701/UDP + 500/UDP (ISAKMP)
    Für IPSec: Protokoll 50 (NICHT Port) - ESP (Encapsulated Security Payload) , Protokoll 51 (NICHT Port) - AH (Authentication Header)

    --> öhm....... ??? IMHO nichts

    Links:
    VPN Überblick
    Protokoll GRE

    Gruß
    Sven
     
  3. Danke für die rasche Antwort:

    Du hast zu 3. geschrieben


    Diese Benutzergruppe wird im AD erstellt, und anschließend wird ihr auf der von Dir beschriebenen Weise Zugriff von extern ermöglicht. Muss ich noch was auf dem VPN Server konfigurieren oder geschieht die Benutzeradministration und die Rechtezuweiseung ausschließlich auf dem DC?

    zu 4.)

    Die von Dir erwähnten Ports sind ja mühelos freizuschalten um ein Portforwarding zu der IP des VPN Servers zu ermöglichen - die Protokolle hingegen können bei meinem Router nicht manuell konfiguriert werden - deswegen gibt es denke ich nur zwei Möglichkeiten: entweder der Router kann die Protokolle verarbeiten oder nicht. Werden diese ganzen für VPN relevanten Protokolle unter dem Oberbegriff VPN Pass-through zusammengefasst?

    Grüße, Matzel
     
  4. Hmm Sorry, das war etwas unglücklich ausgedrückt. Du gehst folgendermaßen vor:
    - (Sicherheits)Gruppe im AD erstellen (zum Beispiel VPN-User)
    - nun packst Du die entsprechenden User in diese Gruppe rein
    - im MMC Snapin Routing & RAS konfigurierst Du eine Einwahlrichtlinie bei der Du oben genannter Windows Gruppe die Einwahl erlaubst. Diese Richtlinie muss EINMALIG erstellt werden. Die weitere Administration machst Du dann über Users and Computers auf dem DC.

    Natürlich kannst Du im AD Users and Computers auch jeden einzelnen Benutzer die Einwahl erlauben/verweigern. (In den Eigenschaften jedes Benutzers gibt es einen Reiter Einwahlberechtigung. Aber bei mehreren Benutzern würde ich persönlich das ganze über die Gruppenberechtigung regeln.

    Schau ins Handbuch deines Routers. Wenn dieser VPN Pass-Through unterstützt, dann sind damit Protokolltyp 47,50 und 51 gemeint. Wenn Du allerdings L2TP einsetzen möchtest, solltest Du zusätzlich die Zertifikatsdienste auf dem DC installieren.

    Gruß
    Sven
     
Die Seite wird geladen...

VPN Server in eine Domäne einbinden und Testen einer Einwahl von extern - Ähnliche Themen

Forum Datum
win. server 2012 keine dlna funktion? Windows Server-Systeme 6. Apr. 2015
Server zur Performacesteigerung mit 2 Netzwerkkarten parallel an einem Switch Netzwerk 1. Feb. 2015
Probleme beim Zugriff auf einen FTP-Server Windows XP Forum 6. Okt. 2014
Server 2008, keine USB Massenspeicher mehr? Windows Server-Systeme 30. Sep. 2014
Eine Index/of auf dem Server erstellen? Windows 8 Forum 12. Mai 2014