Accesso a dominio Windows da VPN hardware
md...@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
Grazie
![Edoardo Benussi [MVP]'s profile photo](https://lh3.googleusercontent.com/a/default-user=s40-c)
Edoardo Benussi [MVP]
1175326581....@d57g2000hsg.googlegroups.com
la vpn è considerata come una connessione di accesso remoto.
una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
--
Edoardo Benussi - e...@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
md...@hotmail.it
Edoardo Benussi [MVP] ha scritto:
Ti ringrazio per la dritta. Non posso provare subito ma quanto prima
farò un tentativo per provare la tua soluzione.
md...@hotmail.it
Edoardo Benussi [MVP] ha scritto:
> md...@hotmail.it <md...@hotmail.it> wrote in message,
Ciao, ho provato quanto mi hai consigliato ma mentre facevo le prove
da un certo momento in poi non sono più riuscito ad accedere al server
remoto. In pratica lanciando il client VPN, il router mi autentica ma
non riesco più ad entrare nel server e nei client remoti (cosa che
prima facevo digitando \\xxx.xxx.xxx.xxx). Cosa può essere successo?
md...@hotmail.it
> > 1175326581.589338.41...@d57g2000hsg.googlegroups.com
>
> - Mostra testo tra virgolette -
Credo di aver risolto. L'ultimo problema e parecchi altri piccoli
malfunzionamenti riscontrati nei giorni scorsi erano causati dalla
versione del software del router 3Com. Infatti il router, pur essendo
stato acquistato non più di una settimana fa, aveva la versione del
software aggiornata a maggio 2004. Dopo di questa sono usciti ben
quattro aggiornamenti fino ad arrivare alla versione 2.02-168 che è
quella che ho installato ieri.
Di questo puzzle mi manca solo il tassello del perchè ha funzionato
qualche giorno, anche se credo possa dipendere dai test che stavo
facendo per cercare di autenticare il client al dominio remoto.
Grazie
Edoardo Benussi [MVP]
> Credo di aver risolto. L'ultimo problema e parecchi altri piccoli
> malfunzionamenti riscontrati nei giorni scorsi erano causati dalla
> versione del software del router 3Com. Infatti il router, pur essendo
> stato acquistato non più di una settimana fa, aveva la versione del
> software aggiornata a maggio 2004. Dopo di questa sono usciti ben
> quattro aggiornamenti fino ad arrivare alla versione 2.02-168 che è
> quella che ho installato ieri.
> Di questo puzzle mi manca solo il tassello del perchè ha funzionato
> qualche giorno, anche se credo possa dipendere dai test che stavo
> facendo per cercare di autenticare il client al dominio remoto.
> Grazie
ottimo. ciao.
md...@hotmail.it
Edoardo Benussi [MVP] ha scritto:
> md...@hotmail.it <md...@hotmail.it> wrote in message,
Ciao, ho provato la soluzione da te consigliata, ma non riesco ad
accedere al dominio. Nella schermata di logon attivo la connessione
vpn, e nel campo utente digito dominio\utente; si vede andare a buon
fine la connessione VPN, la schermata di logon diventa di color
'grigetto' e dopo un paio di secondi dice che non è possibile accedere
al dominio.
Il terminatore VPN remoto è il router e non windows server.
Ciao
Edoardo Benussi [MVP]
> Il terminatore VPN remoto è il router e non windows server.
ahia.
fammi pensare...
md...@hotmail.it
Edoardo Benussi [MVP] ha scritto:
> md...@hotmail.it <md...@hotmail.it> wrote in message,
> 1175696810.2...@w1g2000hsg.googlegroups.com
>
> > Il terminatore VPN remoto è il router e non windows server.
>
> ahia.
> fammi pensare...
>
Basterebbe un modo qualsiasi per accedere alle risorse del dominio
remoto senza dover mettere le autorizzazioni a 'everyone'...
Edoardo Benussi [MVP]
> Basterebbe un modo qualsiasi per accedere alle risorse del dominio
> remoto senza dover mettere le autorizzazioni a 'everyone'...
mi puoi postare la configurazione tcp/ip
della connessione vpn ?
md...@hotmail.it
wrote:> 1176210372.288745.66...@n59g2000hsh.googlegroups.com
>
> > Basterebbe un modo qualsiasi per accedere alle risorse del dominio
> > remoto senza dover mettere le autorizzazioni a 'everyone'...
>
> mi puoi postare la configurazione tcp/ip
> della connessione vpn ?
>
> --
> Edoardo Benussi - e...@mvps.org
> Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Spero che sia quello che mi hai chiesto:
Indirizzo IP del Router 3Com 3CR870-95 = 192.168.2.54
Subnet Mask = 255.255.255.0
VPN Mode = PPTP
Firewall's LAN IP Address = 192.168.2.54
First remote IP address = 192.168.2.35
Last remote IP address = 192.168.2.40
Tunnel type = PPTP
Connection type = Remote user access
Grazie
Edoardo Benussi [MVP]
> Spero che sia quello che mi hai chiesto:
no, io intendevo dal client
vpn quando la connessione vpn è attivata
lancia un ipconfig /all e posta qui il risultato.
md...@hotmail.it
>
> > Spero che sia quello che mi hai chiesto:
>
> no, io intendevo dal client
> vpn quando la connessione vpn è attivata
> lancia un ipconfig /all e posta qui il risultato.
>
> --
> Edoardo Benussi - e...@mvps.org
> Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Scusami, oltretutto ti avevo postato la configurazione VPN del mio
router e non di quello remoto.
Ecco quello che mi hai chiesto:
Configurazione IP di Windows
Nome host . . . . . . . . . . . . . . : pcgb
Suffisso DNS primario . . . . . . . : SERVER.nomeazienda.it
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Elenco di ricerca suffissi DNS. . . . : SERVER.nomeazienda.it
nomeazienda.it
Scheda Ethernet Connessione alla rete locale (LAN):
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Realtek RTL8168/8111
PCI-E Gigabit Ethernet NIC
Indirizzo fisico. . . . . . . . . . . : 00-17-31-9C-6E-29
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.2.14
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.2.54
Server DNS . . . . . . . . . . . . . : 192.168.2.100
Scheda PPP prt:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP)
Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.195
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
Server DNS . . . . . . . . . . . . . : 192.168.0.50
Grazie mille per l'interessamento.
Ciao
md...@hotmail.it
Edoardo Benussi [MVP] ha scritto:
> md...@hotmail.it <md...@hotmail.it> wrote in message,
> 1176221037.4...@w1g2000hsg.googlegroups.com
>
> > Spero che sia quello che mi hai chiesto:
>
> no, io intendevo dal client
> vpn quando la connessione vpn è attivata
> lancia un ipconfig /all e posta qui il risultato.
>
Ti invio l'IPCONFIG di due connessioni VPN diverse alle quali mi
connetto dal PC di casa. I router che fanno da terminatori VPN sono
identici sia nel modello che nella configurazione e i due domini sono
molto simili. In un dominio riesco ad accedere alle condivisioni
predisposte per gli 'Authenticated users' (la prima volta che accedo
mi chiede userID e password ed inserendo i dati di un utente del
dominio tutto funziona), mentre nell'altro dominio con le condivisioni
configurate nello stesso identico modo mi da 'Accesso negato'. L'unica
differenza è che il dominio dove riesco ad accedere alle condivisioni
è un dominio Windows 2000 server, mentre dove non funziona è un
dominio Windows 2003 server.
Riassumendo:
Client lo stesso (PC di casa connesso tramite
un modem 56K)
Router VPN remoto identici sia nel modello (3CR870-95) che nella
configurazione
Domini molto simili (per non dire uguali) ma uno
con W2000 Server ed uno con W2003 Server
Di seguito ti allego i due IPCONFIG
SITUAZIONE FUNZIONANTE (W2000 Server):
***************************************************************************
Configurazione IP di Windows
Nome host . . . . . . . . . . . . . . : pc01
Suffisso DNS primario . . . . . . . :
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Scheda Ethernet Connessione alla rete locale (LAN):
Stato supporto . . . . . . . . . . . : Supporto disconnesso
Descrizione . . . . . . . . . . . . . : VIA Rhine II Fast Ethernet
Adapter
Indirizzo fisico. . . . . . . . . . . : 00-13-8F-4E-0C-F9
Scheda PPP Tiscali:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 62.11.40.16
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 62.11.40.16
Server DNS . . . . . . . . . . . . . : 213.205.32.70
213.205.36.70
NetBIOS su TCPIP. . . . . . : Disabilitato
Scheda PPP Azienda srl:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.2.37
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 192.168.2.37
Server DNS . . . . . . . . . . . . . : 192.168.2.54
Ti indico anche cosa riporta lo 'stato di connessione':
Nome periferica WAN Miniport (PPTP)
Tipo di periferica VPN
Tipo server PPP
Trasporti TCP/IP
Autenticazione MS CHAP
Crittografia MPPE 128
Compressione (nessuno)
Frame collegamento multiplo PPP Disattivato
Indirizzo IP del server 192.168.2.54
Indirizzo IP client 192.168.2.37
***************************************************************************
SITUAZIONE NON FUNZIONANTE (W2003 Server):
***************************************************************************
Configurazione IP di Windows
Nome host . . . . . . . . . . . . . . : pc01
suffisso DNS primario . . . . . . . :
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Scheda Ethernet Connessione alla rete locale (LAN):
Stato supporto . . . . . . . . . . . : Supporto disconnesso
Descrizione . . . . . . . . . . . . . : VIA Rhine II Fast Ethernet
Adapter
Indirizzo fisico. . . . . . . . . . . : 00-13-8F-4E-0C-F9
Scheda PPP Tiscali:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 62.11.40.16
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 62.11.40.16
Server DNS . . . . . . . . . . . . . : 213.205.32.70
213.205.36.70
NetBIOS su TCPIP. . . . . . : Disabilitato
Scheda PPP Azienda:
Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.195
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 192.168.0.195
Server DNS . . . . . . . . . . . . . : 192.168.0.50
Ti indico anche cosa riporta lo 'stato di connessione':
Nome periferica WAN Miniport (PPTP)
Tipo di periferica VPN
Tipo server PPP
Trasporti TCP/IP
Autenticazione MS CHAP
Crittografia MPPE 128
Compressione (nessuno)
Frame collegamento multiplo PPP Disattivato
Indirizzo IP del server 192.168.0.50
Indirizzo IP client 192.168.0.195
***************************************************************************
A questo punto penso che la differenza sia nei domini anche se non
riesco a capire dove. Le cartelle condivise alle quali cerco di
accedere tramite VPN sono perfettamente identiche:
Condivisione: 'everyone' controllo completo
Protezione: 'administrator (DOMINIO
\administrator) e 'Authenticated Users' controllo completo
Resto a disposizione per qualsiasi altra informazione ti serva e ti
ringrazio moltissimo per l'interessamento.
Ciao
Edoardo Benussi [MVP]
> A questo punto penso che la differenza sia nei domini anche se non
> riesco a capire dove. Le cartelle condivise alle quali cerco di
> accedere tramite VPN sono perfettamente identiche:
> Condivisione: 'everyone' controllo completo
> Protezione: 'administrator (DOMINIO
> \administrator) e 'Authenticated Users' controllo completo
>
> Resto a disposizione per qualsiasi altra informazione ti serva e ti
> ringrazio moltissimo per l'interessamento.
questo
Server DNS . . . . . . . . . . . . . : 192.168.0.50
è il vero server dns del dominio
verso il quale non funziona la vpn ?
md...@hotmail.it
No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
del 'dominio funzionante'.
Woland
<md...@hotmail.it> ha scritto nel messaggio
news:1175326581....@d57g2000hsg.googlegroups.com...
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da questo
I problemi che dichiara mdg98 mi sembrano due diversi:
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in VPN se
lo fa dal client microsoft
La seconda e' che se riguardate come ha messo i permessi sulle cartlle ci
dovrebbe esseer un errore di fondo: credo chye debba mettere everyone nei
permessi NFTS e gli utenti autenticati sui permessi di autenticazione
Spero di non aver suggerito fesserie, in quanto stavande disputando sul DS
su gli ultimi post
Ciao ad entrambi
--
Woland
Edoardo Benussi [MVP]
uggopXQf...@TK2MSFTNGP03.phx.gbl
> Scusate Mdg98 ed Edoardo se mi intrometto di nuovo:
fai benissimo, può essere che mi sia sfuggito qualcosa.
> mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
> questo I problemi che dichiara mdg98 mi sembrano due diversi:
>
> Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
> VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
> La seconda e' che se riguardate come ha messo i permessi sulle
> cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
> mettere everyone nei permessi NFTS e gli utenti autenticati sui
> permessi di autenticazione
questa non l'ho capita.
Edoardo Benussi [MVP]
> No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
> del 'dominio funzionante'.
per l'intervento di Woland mi sorge questo dubbio:
ma chi autentica i chiamanti in vpn ?
Woland
"Edoardo Benussi [MVP]" <edoardo.b...@tin.it> ha scritto nel messaggio
news:OvsTjhQf...@TK2MSFTNGP04.phx.gbl...
> Woland <ser...@hotmail.it> wrote in message,
> uggopXQf...@TK2MSFTNGP03.phx.gbl
>
>> Scusate Mdg98 ed Edoardo se mi intrometto di nuovo:
>
> fai benissimo, può essere che mi sia sfuggito qualcosa.
>
>> mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
>> questo I problemi che dichiara mdg98 mi sembrano due diversi:
>>
>> Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
>> VPN se lo fa dal client microsoft
>
> questo è interessante: ora che mi ci fai pensare
> a questo particolare non capisco come venga
> autenticata la connessione vpn visto che il server vpn
> è il router.
>
>> La seconda e' che se riguardate come ha messo i permessi sulle
>> cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
>> mettere everyone nei permessi NFTS e gli utenti autenticati sui
>> permessi di autenticazione
>
> questa non l'ho capita.
Per i permessi su cartelle condivise io lascio everyone in lettura( se non
e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
sono strani dal mio punto di vista: ma forse sono solo abitudini.
Ciao
Woland
Edoardo Benussi [MVP]
> Per i permessi su cartelle condivise io lascio everyone in lettura(
> se non e' indispensabile toglierlo) e metto i permessi per gli utenti
> specifici a livello di condivisione e il sistema mi lavora benissimo.
> MDG mi pare che faccia il contrario e non vorrei che questo, a perte
> che l'utente via VPN non si autentica per i motivi di cui ti sono
> venuti i dubbi anche a te, e il tipo di permessi per cartelle shared
> che mette lui sono strani dal mio punto di vista: ma forse sono solo
> abitudini.
io faccio come te anzi peggio
sulla condivisione metto everyone con diritto full control
e poi do i permessi effettivi solo sulle acl.
ma non mi pare che mdg faccia qualcosa di diverso,
il problema è che lui non si autentica al dominio.
md...@hotmail.it
>
> > No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
> > del 'dominio funzionante'.
>
> per l'intervento di Woland mi sorge questo dubbio:
> ma chi autentica i chiamanti in vpn ?
>
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
md...@hotmail.it
> "Edoardo Benussi [MVP]" <edoardo.benussi...@tin.it> ha scritto nel messaggionews:OvsTjhQf...@TK2MSFTNGP04.phx.gbl...> > uggopXQfHHA.4...@TK2MSFTNGP03.phx.gbl
>
> >> ScusateMdg98ed Edoardo se mi intrometto di nuovo:
>
> > fai benissimo, può essere che mi sia sfuggito qualcosa.
>
> >> mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
>
> >> Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
> >> VPN se lo fa dal client microsoft
>
> > questo è interessante: ora che mi ci fai pensare
> > a questo particolare non capisco come venga
> > autenticata la connessione vpn visto che il server vpn
> > è il router.
>
> >> La seconda e' che se riguardate come ha messo i permessi sulle
> >> cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
> >> mettere everyone nei permessi NFTS e gli utenti autenticati sui
> >> permessi di autenticazione
>
> > questa non l'ho capita.
>
> Per i permessi su cartelle condivise io lascio everyone in lettura( se non
> e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
> livello di condivisione e il sistema mi lavora benissimo.
> MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
> l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
> dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
> sono strani dal mio punto di vista: ma forse sono solo abitudini.
>
> Ciao
>
> Woland
>
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.
Edoardo Benussi [MVP]
> Nel 'dominio funzionante', da esplora risorse digito '\
> \192.168.0.1' (server) e prima di visualizzarmi il contenuto del
> server mi chiede userID e password. Entrando con le credenziali di un
> 'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
Woland
news:1176387534.1...@p77g2000hsh.googlegroups.com...
Scusami MDG ma forse io sono un po di "coccio" e quindi ti devo chiedere
alcune cose:
tu dici che il router ti autentica ma questo non e' possibile perche' e' un
router, quindi come ti aveva gia' chiesto Edoardo dovresti cercare di
spiegarci se quando il client accede alla VPN tramite client Microsoft tu o
chi per te, immette una username ed una password che stanno nell'AD del tuo
dominio, ed il nome del dominio ( nome NETBIOS).
Puoi dirci questo per piacere?
--
Woland
md...@hotmail.it
>
> > Nel 'dominio funzionante', da esplora risorse digito '\
> > \192.168.0.1' (server) e prima di visualizzarmi il contenuto del
> > server mi chiede userID e password. Entrando con le credenziali di un
> > 'Authenticated users' il tutto funziona.
>
> in quello non funzionante compare pure la richiesta credenziali
> oppure non compare neanche quella ?
>
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
users', mi compare la seguente finestra di errore:
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
Woland
io non ci sto capendo piu' nulla
C'e un dominio funzionante ed uno no?
ci sono due AD?
ci sono 2 VPN?
una cosa funziona ed una no sullto stesso indirizzo IP?
Mi aiutate a capire in che punto siamo che forse posso dare una mano?
Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
configurazione ha con gli indirizzi giusti ?
scusate ma oramai mi sono " ingarellato"
--
Woland
Woland
news:1176387534.1...@p77g2000hsh.googlegroups.com...
Scusate ancora mi sono riletto tutto piano piano ed ora ho capito (a parte
il range di indirizzi 192.168.2.35-40) e provo a ricapitolare
Allora nel dominio "windows 2000" entri e ti chiede di autenticarti il
sistema solo quando provi ad accedere ad una risorsa di rete, ti autentichi
per quella risorsa e la accedi, ma non sei autenticato per la VPN.........
nel senso che in una VPN l'autenticazione ti deve esseer richiesta dal
sistema che gestisce il controllo remoto priam di proiettarti sulla rete.
Nel secondo dominio windows 2003, siccome il sistema non ti chiede di
autenticarti quando accedi ad uan risorsa ma semplicemente ti dice che non
sei autorizzato per quellla risorsa, non la accedi e basta ( se metti
everyone accedi pure se sei un marziano) ma conitnui a non autenticaerti nel
dominio entrando in VPN.
Ora io uso ISA2000 in una VPN ed ISA2004 in un altra VPN e quindi solo con i
router non so come si possa fare ma il sistema W2003 dovrebbe avere su
Acesso Remoto le capacistà di mandarti la finestra di logon PRIMA di
proiettarti sulla rete.
Cioe' ti devi presentare al dominio gia' con uno user che ha l'accesso
remoto in quel dominio per poter poi entrare sulla rete come oggett
conosciuto all'AD.
Spero di non avere creato maggiore confusione
Ciao a tutti e 2
-
Woland
md...@hotmail.it
> <m...@hotmail.it> ha scritto nel messaggionews:1176458096.3...@o5g2000hsb.googlegroups.com...
Ti indico di seguito il link al messaggio di questa discussione dove
indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
chiarirti la situazione altrimenti chiedimi pure tutte le
delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
(anche perchè io non so più dove sbattere la testa).
http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd07f2ba3b1ef
Woland
On 13 Apr, 12:04, "Woland" <ser...@hotmail.it> wrote:
> <m...@hotmail.it> ha scritto nel
> messaggionews:1176458096.3...@o5g2000hsb.googlegroups.com...
> On 12 Apr, 17:41, "Edoardo Benussi [MVP]" <edoardo.benussi...@tin.it>
> wrote:
>
> > m...@hotmail.it <m...@hotmail.it> wrote in message,
>
> > 1176387319.983554.151...@o5g2000hsb.googlegroups.com
>
> > > Nel 'dominio funzionante', da esplora risorse digito '\
> > > \192.168.0.1' (server) e prima di visualizzarmi il contenuto del
> > > server mi chiede userID e password. Entrando con le credenziali di un
> > > 'Authenticated users' il tutto funziona.
>
> > in quello non funzionante compare pure la richiesta credenziali
> > oppure non compare neanche quella ?
>
> No, in quello non funzionante non compare nemmeno la videata di
> richiesta delle credenziali, appena da esplora risorse ad esempio
> con l'accesso abilitato solo per 'Administrator' e 'Authenticated
> users', mi compare la seguente finestra di errore:
>
> 'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
> non disporre dell'autorizzazione necessaria per l'utilizzo della
> risorsa di rete. Per le autorizzazioni di accesso, contattare
> l'amministratore del server. Accesso negato.
>
> Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
> il tutto funziona.
>
> io non ci sto capendo piu' nulla
> C'e un dominio funzionante ed uno no?
> ci sono due AD?
> ci sono 2 VPN?
> una cosa funziona ed una no sullto stesso indirizzo IP?
> Mi aiutate a capire in che punto siamo che forse posso dare una mano?
> Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
> configurazione ha con gli indirizzi giusti ?
> scusate ma oramai mi sono " ingarellato"
>
> --
> Woland
Ti indico di seguito il link al messaggio di questa discussione dove
indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
chiarirti la situazione altrimenti chiedimi pure tutte le
delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
(anche perchč io non so piů dove sbattere la testa).
http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd07f2ba3b1ef
Scusa MDG tu hai postato un IPCONFIG di un Router che dice che ha come range
questi indirizzi 192.168.2.35-40 sono quelli che sono abilitati per la VPN?
Nell'altro router che range hai abilitato?
--
Woland
md...@hotmail.it
> <m...@hotmail.it> ha scritto nel messaggionews:1176461046.3...@l77g2000hsb.googlegroups.com...
> On 13 Apr, 12:04, "Woland" <ser...@hotmail.it> wrote:
>
>
>
>
>
> > <m...@hotmail.it> ha scritto nel
> > messaggionews:1176458096.3...@o5g2000hsb.googlegroups.com...
> > On 12 Apr, 17:41, "Edoardo Benussi [MVP]" <edoardo.benussi...@tin.it>
> > wrote:
>
> > > m...@hotmail.it <m...@hotmail.it> wrote in message,
>
> > > 1176387319.983554.151...@o5g2000hsb.googlegroups.com
>
> > > > Nel 'dominio funzionante', da esplora risorse digito '\
> > > > \192.168.0.1' (server) e prima di visualizzarmi il contenuto del
> > > > server mi chiede userID e password. Entrando con le credenziali di un
> > > > 'Authenticated users' il tutto funziona.
>
> > > in quello non funzionante compare pure la richiesta credenziali
> > > oppure non compare neanche quella ?
>
> > No, in quello non funzionante non compare nemmeno la videata di
> > richiesta delle credenziali, appena da esplora risorse ad esempio
> > con l'accesso abilitato solo per 'Administrator' e 'Authenticated
> > users', mi compare la seguente finestra di errore:
>
> > 'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
> > non disporre dell'autorizzazione necessaria per l'utilizzo della
> > risorsa di rete. Per le autorizzazioni di accesso, contattare
> > l'amministratore del server. Accesso negato.
>
> > Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
> > il tutto funziona.
>
> > io non ci sto capendo piu' nulla
> > C'e un dominio funzionante ed uno no?
> > ci sono due AD?
> > ci sono 2 VPN?
> > una cosa funziona ed una no sullto stesso indirizzo IP?
> > Mi aiutate a capire in che punto siamo che forse posso dare una mano?
> > Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
> > configurazione ha con gli indirizzi giusti ?
> > scusate ma oramai mi sono " ingarellato"
>
> > --
> > Woland
>
> Ti indico di seguito il link al messaggio di questa discussione dove
> indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
> dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
> chiarirti la situazione altrimenti chiedimi pure tutte le
> delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
>
> http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd...
>
> Scusa MDG tu hai postato un IPCONFIG di un Router che dice che ha come range
> questi indirizzi 192.168.2.35-40 sono quelli che sono abilitati per la VPN?
> Nell'altro router che range hai abilitato?
>
> --
>
> - Mostra testo tra virgolette -
Nell'altro router il range indicato è 192.168.0.150-200. infatti negli
IPCONFIG riportati nel messaggio per il quale ti ho indicato il link,
vengono dati al client rispettivamente gli IP 192.168.2.37 e
192.168.0.195.
Edoardo Benussi [MVP]
> Scusate ancora mi sono riletto tutto piano piano ed ora ho capito (a
> parte il range di indirizzi 192.168.2.35-40) e provo a ricapitolare
> Allora nel dominio "windows 2000" entri e ti chiede di autenticarti il
> sistema solo quando provi ad accedere ad una risorsa di rete, ti
> autentichi per quella risorsa e la accedi, ma non sei autenticato per
> la VPN......... nel senso che in una VPN l'autenticazione ti deve
> esseer richiesta dal sistema che gestisce il controllo remoto priam
> di proiettarti sulla rete. Nel secondo dominio windows 2003, siccome
> il sistema non ti chiede di autenticarti quando accedi ad uan risorsa
> ma semplicemente ti dice che non sei autorizzato per quellla risorsa,
> non la accedi e basta ( se metti everyone accedi pure se sei un
> marziano) ma conitnui a non autenticaerti nel dominio entrando in VPN.
> Ora io uso ISA2000 in una VPN ed ISA2004 in un altra VPN e quindi
> solo con i router non so come si possa fare ma il sistema W2003
> dovrebbe avere su Acesso Remoto le capacistà di mandarti la finestra
> di logon PRIMA di proiettarti sulla rete.
> Cioe' ti devi presentare al dominio gia' con uno user che ha l'accesso
> remoto in quel dominio per poter poi entrare sulla rete come oggett
> conosciuto all'AD.
> Spero di non avere creato maggiore confusione
buona parte di quello che hai scritto è corretto
ma non è vero che devi essere autenticato sul dominio
prima di poter accedere alle risorse condivise del dominio stesso.
mi spiego: il single sign-on è quel processo in base al quale,
una volta autenticato al dominio, accedo a tutte le risorse
per le quali ho il permesso di accesso senza dovermi riautenticare
ma è perfettamente possibile accedere alle risorse di un dominio
anche quando non vi è una preventiva autenticazione
al dominio stesso, vedi ad esempio il caso di accessi a risorse
di dominio da parte di un xp home che non è joinato al dominio.
è sufficiente fornire le credenziali di un account di dominio
ed accedo alle risorse ugualmente.
Edoardo Benussi [MVP]
> No, in quello non funzionante non compare nemmeno la videata di
> richiesta delle credenziali, appena da esplora risorse ad esempio
> digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
> con l'accesso abilitato solo per 'Administrator' e 'Authenticated
> users', mi compare la seguente finestra di errore:
>
> 'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
> non disporre dell'autorizzazione necessaria per l'utilizzo della
> risorsa di rete. Per le autorizzazioni di accesso, contattare
> l'amministratore del server. Accesso negato.
>
> Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
> il tutto funziona.
funziona nel senso che compare la richiesta
di autenticazione o che vi accedi direttamente ?
Woland
<CUT>
>Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
>il resto le cartelle sono settate per potervi accedere con controllo
>completo solo come utente 'administrator' oppure come utente
>autenticato al dominio.
Se ne hai la possibilità, potresti fare questa prova da un PC collegato alla
LAN 192.168.0.xxx ,e vitando la VPN e tutto il resto :
ti connetti con un utente locale (non di dominio), poi da risorse di rete
sfogli la rete, poi sfogli il dominio, poi provi ad accedere ad una delle
cartelle condivise di un server e vedi se ti arriva la richiesta di
autenticarti o se ti arriva direttamente l'errore che ti dice che non hai le
abnilitazioni e posti il risultato.
Grazie
--
Woland
md...@hotmail.it
> <m...@hotmail.it> ha scritto nel messaggio :
Così funziona correttamente (chiede UID e PW).
md...@hotmail.it
Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
server. Ho fatto una prova e condividendo nello stesso identico modo
delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
Edoardo Benussi [MVP]
> Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
> server. Ho fatto una prova e condividendo nello stesso identico modo
> delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
> stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
hai giocherellato con gli user rights
sulle domain controller policies ?
Woland
>Così funziona correttamente (chiede UID e PW).
Da questa risposta mi viene un idea che potrebbe anche essere una idiozia,
ma la espongo ugualmente perche' potrebbe essere di spunto ad Edoardo che e'
molto piu' bravo e preparato di me:
questo tipo di errore potrebbe essere generato dal fatto che il PC che si
presenta al server abbia un nome tipo xxx.dominio.it anche se non si e'
autenticato realmente al dominio (magari solo perche' il PC si chiama cosi
per quando lavora n LAN), l'AD riconosce la stringa ma non la GUID ( mi pare
sia questa) giusta e l'AD semplicemente gli nega l'accesso.
In questo dominio in cui non accedi il Server in questione e' L'AD del
dominio? Trovi messaggi sull'event viever sull'elenco protezione?
Se ho scritto un ipotesi idiota pazienza ma controlla l'event viever per
favore e controlla che nome ha il PC che si tenta di connettere al dominio e
se puoi riportali qui sopra
Ciao
Woland
md...@hotmail.it
Woland ha scritto:
Purtroppo questi controlli li ho già fatti tutti. Il server in
questione è il controller primario del dominio e nell'event viewer non
c'è nulla di anomalo. I primi test effettivamente li facevo da un PC
che faceva parte di un dominio e sinceramente mi era venuto lo stesso
sospetto, tanto che tutti i test successivi li ho poi fatti dal mio pc
di casa che non fa parte di nessun dominio.
md...@hotmail.it
>
> > Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
> > server. Ho fatto una prova e condividendo nello stesso identico modo
> > delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
> > stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
>
> hai giocherellato con gli user rights
> sulle domain controller policies ?
>
> --
> Edoardo Benussi - e...@mvps.org
> Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Assolutamente no, è un dominio creato da pochissimo (ne gestisco
diversi). Le operazioni effettuate su questo dominio sono talmente
semplici da risultare banali:
- installato il server W2003 come controller primario di dominio;
- creato gli utenti;
- create le condivisioni e settati i permessi sulle cartelle;
- configurato il server DNS con i server d'inoltro.
- per il momento non ho ancora toccato nessuna policy
Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
VPN sulle cartelle del server abilitate per l'accesso degli
'Authenticated users'.
Edoardo Benussi [MVP]
> Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
> VPN sulle cartelle del server abilitate per l'accesso degli
> 'Authenticated users'.
ti spiace provare a sostituire
"autheticated users" con "domain users"
e riprovare ?
md...@hotmail.it
>
> > Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
> > VPN sulle cartelle del server abilitate per l'accesso degli
> > 'Authenticated users'.
>
> ti spiace provare a sostituire
> "autheticated users" con "domain users"
> e riprovare ?
>
> --
> Edoardo Benussi - e...@mvps.org
> Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Niente da fare, sempre il solito messaggio di 'Accesso negato'.
Siccome mi stanno venendo tutti i dubbi del mondo, ti riassumo le
condivisioni/protezioni della cartella alla quale non riesco ad
accedere:
DISCO C DEL SERVER:
Condivisione:
Nome condivisione: C
Autorizzazioni condivisione: everyone (controllo completo)
Protezione:
Utenti e gruppi: Administrators (DOMINIO\Administrators) (controllo
completo), Authenticated users (controllo completo), everyone
(controllo completo)
Cartella con 'Accesso negato' (c:\cartella):
Protezione: Administrator (DOMINIO\Administrator) (controllo
completo), Authenticated users (controllo completo), Domain Users
(DOMINIO\Domain Users) (controllo completo)
I permessi per 'everyone' nel disco C del server sono momentanei (i
fornitori di una applicazione lo hanno momentaneamente richiesto).
Edoardo Benussi
news:1176728263....@y80g2000hsf.googlegroups.com...
[cut all]
hai forse applicato un security template
a livello di domain controller policies ?
md...@hotmail.it
Edoardo Benussi ha scritto:
Non ho ancora 'nemmeno sfiorato' le policies. E' un server installato
da pochissimo dove ho fatto solo le operazioni che ti ho indicato in
un post precedente e niente altro. Mi rendo conto che non è facile
(per non dire imposiibile) aiutarmi, quindi capisco benissimo se
decidi di lasciar 'perdere la mia causa'. Io devo andare via qualche
giorno per lavoro, quando torno (quindi laprossima settimana) pensavo
di azzerare tutte le condivisioni ed i permessi e di riconfigurarli da
zero.
Cosa ne dici?
Edoardo Benussi [MVP]
> Non ho ancora 'nemmeno sfiorato' le policies. E' un server installato
> da pochissimo dove ho fatto solo le operazioni che ti ho indicato in
> un post precedente e niente altro. Mi rendo conto che non è facile
> (per non dire imposiibile) aiutarmi, quindi capisco benissimo se
> decidi di lasciar 'perdere la mia causa'. Io devo andare via qualche
> giorno per lavoro, quando torno (quindi laprossima settimana) pensavo
> di azzerare tutte le condivisioni ed i permessi e di riconfigurarli da
> zero.
> Cosa ne dici?
che mi sembra un'ottima idea ? :-)
quando torni facci sapere.
ciao.
md...@hotmail.it
Ok, grazie a te ed anche a Woland. Vi farò sapere.
Ciao