Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2372 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Domain information over VPN not possible?

JPSelter
Hello!

Is it true that you cannot pass cached domain information over VPN to a domain network?

I have a notebook that is part of a domain and has cached login name, password and domain name. When at home it opens a VPN connection and it should pass all required information to our domain controller.

But... we have three domain controllers. When DC1 is the DC currently used it works perfectly when trying to access a network share. When DC2 or DC3 is connected it says "login not acceppted, please enter name and password".

I have a theory about this: DC1 is the main server that the VPN user authenticates (Astaro asks DC1 for permission). So DC1 already knows the name and password for the current user. DC2 and DC3 are not asked so they don´t know anything.

Why doesn´t the notebook just broadcast into the domain network and passes all information onto one of the 3 DCs?

regards, JP


This thread was automatically locked due to age.
Parents
  • 0
    JP, I'm not all that knowledgeable about AD, but I think your issue is with Microsoft and how your network is configured.  Then again, there are some things I don't understand...

    You say that DC1 is used to authenticate VPN users.  Does that mean you are using SSL Remote Access and the allowed users are an AD-Authenticated backend group?

    If DC1 is the only one that's used to authenticate users, why is it no longer available after authentication?

    When DC1 is the DC currently used it works perfectly when trying to access a network share. When DC2 or DC3 is connected it says "login not acceppted, please enter name and password".

    When connected locally, do you experience the same thing with this laptop?

    Cheers - Bob
  • 0 in reply to BAlfson
    No, it only happens when using VPN.

    All users have to be authenticated against the AD behind the firewall, DC1 is the server the astaro firewall asks. DC1 then returns "ok" or "not ok". DC1 "knows" the current user then for further operations (network shares for example).

    If the notebook is using DC1 after that as the primary DC, everything works fine (as I said: DC1 already gave permission when opening the VPN tunnel). If DC2 or DC3 are required they don´t know anything about the notebook. 

    If using direct access via LAN it all works well. It has to be something with the way VPN runs the connection between a notebook being part of the domain and the actual domain behind the firewall. As if VPN filters cached domain information...
Reply
  • 0 in reply to BAlfson
    No, it only happens when using VPN.

    All users have to be authenticated against the AD behind the firewall, DC1 is the server the astaro firewall asks. DC1 then returns "ok" or "not ok". DC1 "knows" the current user then for further operations (network shares for example).

    If the notebook is using DC1 after that as the primary DC, everything works fine (as I said: DC1 already gave permission when opening the VPN tunnel). If DC2 or DC3 are required they don´t know anything about the notebook. 

    If using direct access via LAN it all works well. It has to be something with the way VPN runs the connection between a notebook being part of the domain and the actual domain behind the firewall. As if VPN filters cached domain information...
Children
  • 0 in reply to JPSelter
    Hi JP Selter,

    are you shure that your Laptop can communicate with DC2 and DC3 via the VPN-Tunnel?

    greets
    firebear
  • 0 in reply to firebear_01
    It is possible to ping those servers, yes. And there is only one packet filter rule for them: any-any...

    I found a way to solve this problem: I uninstalled the astaro VPN client and installed OpenVPN. And: it works as it should! DC2 and DC3 finally get the cached login information!

    And more detail: At first I forgot to uninstall the astaro´s virtual network adapter and used that one with OpenVPN. The script asked for the password. I completely uninstalled the astaro´s network adapter and installed the OpenVPN´s adapter and the script does not ask for a pasword.

    All in all: There´s something wrong with the astaro´s virtual network adapter that somehow does not pass through network domain information. It blocks them and the DC does not know who is asking for access.