Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

VPN Verbindungen Protokollieren?

77 views
Skip to first unread message

Niels Wiederanders

unread,
Apr 3, 2007, 6:09:43 AM4/3/07
to
Hallo NG,

Sobald sich ein PC via VPN auf einen Windows 2000 PC verbindet, erhällt er
ja eine IP Adresse zugeteilt.

Gibt es eine Möglichkeit zu Protokollieren, welcher Nutzer welche IP Adresse
hat?

Bsp.:
Ich habe zwei Teilnetzwerke, Netz A und Netz B, sowie einen Nutzer 1 und
Nutzer 2 aus Netz A und einen Server aus Netz B.
Netz B ist für Nutzer aus dem Netz A nur erreichbar, wenn sie sich als VPN
Verbindung auf dem PC1 einwählen, da dieser mit beinen Teilnetzen verbunden
ist.

Nutzer 1 und Nutzer 2 können so einen Server aus Netz B erreichen. Dieser
Protokolliert die IP Adressen der Zugriffe. Nun kann ich diese IP Adressen
jedoch nur bis zum PC1 zurückverfolgen. Ich weiß also nicht, hat Nutzer 1
oder Nutzer 2 auf den Server zugegriffen. Ich kann lediglich sagen, dass es
ein Nutzer der VPN Verbindung war.

Gäbe es ein Protokoll auf PC1 in dem steht, "Nutzer 1 hat sich um 08:00
Verbunden und die IP Adresse X erhalten", so könnte ich die Anfrage
zurückverfolgen.

Hat jemand eine Idee, wie ich dies bewerkstelligen könnte?

Vielen Dank und viele Grüße

Niels Wiederanders


Robert Pieroth [MVP]

unread,
Apr 3, 2007, 8:30:50 AM4/3/07
to
"Niels Wiederanders" <pal...@gmx.de> schrieb

Hi Nils,

aktiviere auf dem Server in dem Netz B die Überwachung von erfolgreichen
Anmeldeereignissen. In der Ereignisanzeige - Sicherheitsprotokoll bekommst
Du dann die Informationen, welche Nutzer von welchen PC aus zugegriffen haben.

Auch auf dem PC1 kannst Du das aktivieren. Oder nur auf dem. Oder auf
beiden. Wie Du's lieber hast und brauchst.

Start - Ausführen - Secpol.msc
Lokale Richtlinien -> Überwachungsrichtlinien -> Anmelderereignisse

Die Ergebnisse: Start -> Programme -> Verwaltung -> Ereignisanzeige - Sicherheit

Viele Grüße
Robert Pieroth
--
http://www.faq-o-matic.net
http://www.edv-buchversand.de/mspress/product.asp?&cnt=product&id=ms-5604
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A

Niels Wiederanders

unread,
Apr 4, 2007, 2:38:34 AM4/4/07
to

> Start - Ausführen - Secpol.msc
> Lokale Richtlinien -> Überwachungsrichtlinien -> Anmelderereignisse
>
> Die Ergebnisse: Start -> Programme -> Verwaltung -> Ereignisanzeige -
> Sicherheit
>

Vielen Dank!

Niels Wiederanders


Niels Wiederanders

unread,
Apr 4, 2007, 4:29:21 AM4/4/07
to
Hallo Robert,

Es funktioniert doch nicht so, wie ich es gedacht habe:

>
> aktiviere auf dem Server in dem Netz B die Überwachung von erfolgreichen
> Anmeldeereignissen. In der Ereignisanzeige - Sicherheitsprotokoll bekommst
> Du dann die Informationen, welche Nutzer von welchen PC aus zugegriffen
> haben.

Soweit so gut, aber im Protokoll erhalte ich nur die Information, dass der
Benutzer angemeldet wurde, jedoch nicht, welche IP Adresse er zugewiesen
bekommen hat! Meldet mir also z.B. der Server aus dem Netz B, dass ein
Client mit der IP Adresse x.x.x.x einen Angriffsversuch gestartet hat, so
kann ich nicht sagen, welcher User dies war.

Viele Grüße
Niels Wiederanders


Mark Heitbrink [MVP]

unread,
Apr 4, 2007, 7:56:00 AM4/4/07
to
Hi,

Niels Wiederanders schrieb:


> Soweit so gut, aber im Protokoll erhalte ich nur die Information, dass der
> Benutzer angemeldet wurde, jedoch nicht, welche IP Adresse er zugewiesen

> bekommen hat! [...]

Du solltest im System Log eine "Remote Access" Quelle mit der EventID 20194
finden in der der Name des Users steht und mit welchem VPN Port er
verbunden ist. In der 20165 ist dann der genutzte VPN Port mit der IP
hinterlegt.

List of Event IDs for the Routing and Remote Access Service
http://support.microsoft.com/kb/824866

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

0 new messages