ComputerBase Menü
Aktuelles

Windows Server 2008 R2 Per VPN an lokaler Domäne anmelden möglich? (Anfänger)

F

_fe

Cadet 2nd Year
Registriert
Apr. 2013
Beiträge
17
Hallo zusammen,

ich bin "verwalte" ein kleines Büronetzwerk für einen Verein und bräuchte ein bisschen Hilfestellung, da ich fachfremd und im Lernprozess bin ;)

Das Setup:

1 Server (Windows 2008 R2, verwaltet eine Domäne, AD, Datenbanken usw.)
~ 10 Clients (Windows 7, melden sich über lokales Netzwerk an Domäne an)
1 Router (Fritzbox 3270 v3, joar... Internet halt)
1 Anfrage der Geschäftsführung, dass er gerne von seinem PC von Zuhause aus arbeiten würde
1 Fragensteller mit (gefährlichem) Halbwissen

Mein erster Gedanke zum Thema war, dass es ja eigentlich kein größeres Problem sein dürfte sich übers Internet genauso an der Domäne anzumelden und ganz genauso von Zuhause zu arbeiten wie hier vor Ort. Mein Stichwort dazu war VPN.

Jetzt stellt sich für mich die Frage wie ich das genau bewerkstelligen kann. Irgendwie muss ich ja für meinen Server / Router eine feste Erreichbarkeit (DynDNS Service?) schaffen. Wenn ich das habe (so stelle ich mir das zumindest vor), kann der Mitarbeiter Zuhause am Rechner einen VPN Client starten, sich an unser lokales Netzwerk verbinden und sich damit an der Domäne anmelden und so auf alle Netzlaufwerke (Server / NAS) und die Datenbanken und Programme die Servergestützt sind zugreifen.

Ist das generell möglich so oder bin ich da auf dem Holzweg?

Hab in den Fritzbox Einstellungen schon was zu dem Thema gefunden, das dann aber nicht mehr weiter verfolgt, weil ich zuerst klären wollte ob das mit der Domäne überhaupt zusammenpasst...

Ich würde mich über Hilfe sehr freuen (Das würde auch mir unter anderem auch die Eine oder Andere Anfahrt ins Büro sparen ;))

Viele Dank fürs Lesen,
_fe
 
generell sehe ich mal 2 Möglichkeiten:

1) du kannst in der Fritzbox ein VPN Server konfigurieren der die AD Benutzer als Quelle für den Login nimmt.
2) die Fritzbox schickt den ganze VPN Traffic an den Windows Server (und hat selber nix damit zu tun) und dort installierst Du ein VPN Server der die AD User für den Login nimmt.

Vorher würde ich an deiner Stelle abklären ob es wirklich gleich ein VPN Server sein muss oder ob es nicht reichen würde z.B. ein paar Dokumente in die Cloud wie z.B. Dropbox, Google Drive, etc zu schieben weil eh nur mit denen gearbeitet werden soll. Upload Bandbreite hast genug?

Btw die PPTP Technik die standardmässig von Windows für VPN verwendet wird ist übrigens unsicher und sollte nicht mehr eingesetzt werden.
 
Zuletzt bearbeitet:
Danke für deine Gedanken Lawnmower.

An den Server weiterschicken klingt für mich grundsätzlich einleuchtender und im Endeffekt auch für mich persönlich besser, weil ich da sicher nachhaltiger lernen kann ;)

Dokumente in die Cloud tuts leider nicht, Buchhaltung und ein Branchenspezifisches Verwaltungsprogramm benötigen Zugriff auf Datenbanken...

Als ersten Schritt brauche ich aber ein DynDNS oder sowas in der Art um überhaupt übers Netz meine Geräte zu erreichen, oder?
 
ja.
DynDNS ist aber kostenpflichtig geworden.

versuch es mal bei no-ip.org oder so.
 
Jo, dachte das wäre der Sammelbegriff für alle dieser Dienste ;D

Als nächsten Schritt muss ich mich darum kümmern, dass der VPN Server auf dem Server installiert, bzw. konfiguriert wird?

Danke dir auch!
 
Als nächsten Schritt muss ich mich darum kümmern, dass der VPN Server auf dem Server installiert, bzw. konfiguriert wird?
Zum Vergrößern anklicken....
das ist richtig, das mit no-ip ebenfalls; am besten guckst Du mit welchen Dienste die Fritzbox von Werk aus zurechtkommt, dann brauchst kein Updater Programm auf dem Server laufen zu lassen.
 
Entweder Du benutzt die Fritz!Box als VPN Endpoint - mit dem entsprechenden (AVM) VPN Client oder Du konfigurierst VPN auf einem Windows Server (NICHT auf dem DC) und benutzt den integrierten Windows VPN Client. Bei letzter Möglichkeit mußt Du die entsprechenden Ports in der Fritz!Box auf den VPN Windows Server forwarden.

Mit no-ip.org funktioniert das alles, das kann auch die Fritz!Box automatisch aktualisieren.

Generell muß der Chef natürlich einen Firmenrechner zu Hause stehen haben.
 
Danke erstmal!

Sieht ganz so aus, als wäre der Weg über die Fritzbox doch der sinnvollere. Hab jetzt mal ein no-ip Konto eingerichtet und die Anmeldedaten im entsprechenden Feld der Fritzbox hinterlegt. Ich gehe also einfach mal davon aus, dass das jetzt funktioniert.

Wie muss ich jetzt weiter vorgehen um einen externen PC in die Domäne zu bekommen?

Ich würde jetzt auf dem neuen Client die AVM VPN Software installieren und in der Fritzbox den VPN Dienst konfigurieren.
Damit sich der neue Client an der Domäne anmelden kann muss ich ihn doch ins AD hinzufügen, oder habe ich da was falsch verstanden?

Was mir auch noch nicht ganz einleuchtet: Die Clients hier im Haus melden sich ja bei der WIndows Benutzeranmeldung direkt am Server an. Also können die Mitarbeiter ohne AD Zugang (und ohne das lokale Admin PW zu kennen) ihren PC überhaupt nicht benutzen. Der Kollege zuhause muss aber ja irgendwie zunächst mal die VPN Software starten um den Tunnel aufzubauen. Zu dem Zeitpunkt hat er sich ja dann schon mit seinem lokalen Konto am PC angemeldet... Aaaah Gehirnkrampf ;) Kann da einer helfen bisschen zu entwirren? Danke vielmals :freaky:


Und zum Thema Firmenrechner... Nein ist es irgendwie nicht. Ist in dem sinne kein Problem, weil der Kollege sowieso Zugriff auf alles hat und auch haben soll. Wenns ihm dabei seinen Rechner zerschießt ist das natürlich eine andere Sache... :D

Viele Grüße
_fe
 
Fritzbox, VPN und Firmendaten ... da stellen sich mir sicherheitstechnisch gerade die Nackenhaare auf. Ohne professionellen VPN Router mit Firewall würde ich mal lieber die Finger davon lassen. Und dazu noch dynamische IP... hmm wohl auch 24 Stunden Zwanstrennung? Na dann mal viel Spaß beim Wiederherstellen von Dokumenten, die durch die Zwangstrennung verloren gehen, wenn jemand gerade daran arbeitet.
 
Du willst nicht ernsthaft einen privaten PC in die Domäne aufnehmen? Es geht nicht um das 'Zerschießen' auf dem privaten PC, sondern um das enorme Sicherheitsrisiko für die Firma.

Ansonsten melden sich Domain User über cached Credentials am PC an, wenn sie keinen Zugriff auf einen DC haben.
 
Okay, großer Denkfehler. Problematik Privater PC in Domäne ist mir gerade klar geworden als ich nochmal durchdacht habe was alles so umgestellt wird im System wie ich die alten Firmen Laptops in die Domäne gehoben hab.

Alles klar dann ist das hinfällig. Danke für die hartnäckige Warnung vor was eigentlich offensichtlichem ;)

Ich glaub ich muss das ganze nochmal grundsätzlich durchdenken. Bzw. mit dem Kollegen sprechen (ist ja nicht auf meinem Mist gewachsen... ;))

Vielen Dank euch! Ich melde mich falls das Trauerspiel in den zweiten Akt geht =)
 
Ein Terminal Server wäre noch denkbar, auf den sich die User von privaten PCs aus anmelden können...
 
FBrenner schrieb:
Ein Terminal Server wäre noch denkbar, auf den sich die User von privaten PCs aus anmelden können...
Zum Vergrößern anklicken....

stichwort "Remotedesktopgateway"
 
Wie genau kann man noch schauen. Zumindest braucht dafür der Client nicht in der Domäne zu sein.
 
Hei, das ist eine super Idee =)

Wollte das VPN sowieso auch dazu nutzen, den Server per Remotedesktop fernzuwarten.

Könne normale Domänen-Benutzer sich Standardmäßig auf dem Server anmelden oder müssen sie dafür Domänen-Admins sein? Dann könnten die sich ja auch ganz gemütlich über Remotedesktop anmelden...

Danke, das hilft mir gerade sehr weiter!


Edit:
Kurz noch zum Stichwort Sicherheitsrisiko. Soweit ich das sehe besteht das SIcherheitsrisiko bei Nutzung auf privaten PCs vor allem dadurch, dass ich keinen Einfluss darauf habe wie sicher deren PCs, bzw. wie anfällig gegen Angriffe sie sind. Denn von den Nutzern geht ja zuhause nicht mehr "Gefahr" aus wie hier im Büro. Das wäre ja durch eine Terminalserververbindung abgesichert, richtig?
 
Zuletzt bearbeitet:
An Server können sich prinzipiell alle User anmelden, die in der lokalen 'RDP Users' Gruppe sind. Diese Gruppe ist standardmäßig leer. Packst Du hier User (bzw. - wenn man es richtig macht - eine Domänengruppe), dann können diese sich am Server anmelden ohne Adminrechte zu haben. Ein solcher Benutzer kann den Server auch icht neu starten oder runterfahren. Ein Terminal Server (bzw. Remote Desktop Server) erfordert allerdings noch spezielle Lizenzen.
 
Also sowas: Windows Remote Desktop Services External Connector License oder sowas: Windows Remote Desktop Services User CAL?

Wenn ich übers VPN mit Remotedesktop auf den Server zugreife ist das doch kein Unterschied zu einem lokalen Zugriff oder? Und um lokal remote den Server zu steuern habe ich ja auch keine extra Lizenz. Oder brauche ich die Lizenz um das anderen Usern auch zu gewähren?

Edit: Bzw. beides, einmal für den Server und einmal pro Client...
 
Zuletzt bearbeitet:
Windows Remote Desktop Services User CAL?

Um auf dem Server administrativ zu arbeiten, brauchst Du keine Lizenz. Wenn er im Application Server Mode läuft (was er doch soll) brauchst Du RDS CALs.
 
Verstehe. Dann werde ich mich darüber weiter informieren.
Danke!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

interface31
Windows Client an Windows Server 2022 anmelden DNS AD
Antworten
19
Aufrufe
1.338
interface31
interface31
D
Fritzbox: Port weiterleiten an externe IP
Antworten
3
Aufrufe
705
qiller
Q
H
Keine Anmeldung im Drive-Client möglich SYNOLOGY
Antworten
12
Aufrufe
774
K-551
K
V
Netzwerkplan / Netzwerkaufbau - was wäre besser ?
Antworten
8
Aufrufe
725
Maximilian.1
M
Grimba
Nextcloud: VPN vs. Portforwarding + Routerkaskade
Antworten
11
Aufrufe
601
qiller
Q
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz