Neuer Laptop im HomeOffice beitritt zur Domain

[interface31]

Hi,

habe hier einen neuen Laptop dieser ist über Wireguard mit dem Büro verbunden und habe auch Zugriff auf die Daten.
Jetzt möchte ich aber noch das dieser in die Domaine aufgenommen wird.
Was muß ich den einstellen damit dies auch von außerhalb klappt, wollte mir das fahren ins Büro ersparen.

cu

 

[nutrix]

Geht so meines Wissens nach nicht, da initial das AD-Profil lokal auf Deinem Laptop kopiert werden muß. Daher geht das beim ersten Mal immer nur lokal vor Ort im lokalen Netz. Danach gehts dann auch mit VPN.

Du mußt also für das erste Mal immer ins Büro fahren.

 

[kartoffelpü]

Da du einen Tunnel zum Büronetz hast, einfach Domain Join machen? Falls es nicht klappt, kann es ein Problem mit DNS sein oder dass benötigte Netzwerkkommunikation irgendwo blockiert wird.
Dann bedarf es aber mehr Informationen.

 

[nutrix]

Das Problem ist, wenn die Firewall fürs VPN schon ein entsprechendes AD-Profil fordert, das wird so nicht funktionieren. Sprich, wenn es auf dem Notebook für die Authentifizierung an der Firewall noch eine zusätzliche Komponente erfordert (so kenne ich es von einigen Systemen). Wenn das so abgesichert ist, hast Du keine Chance, vorher das irgendwie anders zu lösen. Das schaffst Du auch nicht, wenn Du Dich remote mit irgendwas an dem Notebook als Admin anmeldest und etwas versuchst.

 

[interface31]

Hi,
Danke für die schnelle Antwort, ja das habe ich jetzt mehrfach gelesen das man vor Ort sein muß um beizutreten.
Habe es mit ein Port Freigaben versucht (DNS,Keberos...) brachte aber nix.
Dann muß ich wohl los,

cu

 

[nutrix]

Ich hab den Job ja jahrelang vorher (nebenbei) gemacht und den Kollegen deren Notebooks eingerichtet. Ja, leider hatten wir hier keinen anderen Weg damals gefunden, neue Geräte einzubinden. Wie gesagt, aus Sicherheitsgründen kommt die Authentifizierungsoftware für die Firewall on Top für das VPN dazu, und das geht eben nicht ohne gültiges AD-Profil.

 

[kartoffelpü]

wenn die Firewall fürs VPN schon ein entsprechendes AD-Profil fordert

gibt es denn da irgendeine Implementierung bei Wireguard für?
Kenne ich bisher nur von anderen Protokollen.

Für den Join muss als Erstes der Domaincontroller und der Domainname per DNS richtig aufgelöst werden. Funktioniert das denn?

 

[nutrix]

Das weiß ich eben nicht und kann es leider mangels Infrastruktur (arbeite jetzt woanders) nicht mehr nachstellen.

 

[derchris]

Also vor 3 Jahren konnte ich mich noch mit einem lokalen Account an dem Windows 11 auf meinem Firmenlaptop anmelden, AT&T Global Network Client starte. Den Computer dem AD hinzufügen. Neustarten, wieder lokal anmelden, AT&T VPN starten und dann "irgendwas" mit Ausführen als ... "domain/user" machen. Dann abmelden und dann konnte ich mich mit dem Domainuser an der Kiste anmelden ...

 

[nutrix]

Das geht nur, wenn das VPN unabhängig von AD-Konto läuft! Sprich, Du meldest Dich per VPN mit anderen Credentials als im Netzwerk an. Aber bei den meisten Firmen und Behörden wird, schon aus Effizienzgründen, IMMER das VPN mit einem AD-Konto verknüpft.

 

[derchris]

Das geht nur, wenn das VPN unabhängig von AD-Konto läuft!

AT&T GNC VPN Password war mit dem AD verknüpft. Dort habe ich mich auch mit domain/user anmelden müssen. Aber ist schon +3 Jahre her. Weiß nicht wie das heute ist.

War jetzt davon ausgegangen, dass man heute so etwas wie MDM nimmt und auf Hardware IDs Profile verteilt

 

[interface31]

Hmmm wenn die Wireguard Config die Information vom DNS Server bereithält dann sollte es doch gehen.
Das Problem ist ja das bei der externen Einwahl der Server nicht gefunden wird mit dem Namen.
Wenn ich über Netzwerk-ID der Domain beitreten will dann findet er dies nicht.
Mag mich in weiter Vergangenheit zu erinnern das ich die config angepasst habe zu einem Problem aber warum ???

So das war es :-) Habe die Config angepasst mit der Server Adresse und den DNS Domain Eintrag und schon ging es.
Faulheit siegt