SMB Share Verbindung nur mit aktiver VPN Verbindung

[Die wilde Inge]

Hi,

mein Titel ist etwas plump, ich konnte das ganze aber nicht besser umschreiben.

Ich habe folgendes Phänomen: Wenn ich auf meinem Laptop1 (Mitglied einer Domäne) ein SMB Share von Hidrive als Netzlaufwerk einrichte, dann kann ich das Share nach einem Reboot erst dann wieder nutzen, wenn ich vorher eine VPN Verbindung mit dem Firmennetz herstelle. Versuche ich das Share zu entfernen und neu zu verbinden, ohne dass ich im VPN bin, kriege ich die Meldung, dass meine Anmeldedaten nicht überprüft werden können.

Das Verhalten ist mir verständlich und das ist eigentlich auch nicht wirklich mein Problem. Etwas stutzig bin ich nur geworden, als ich auf Laptop 2 (nicht Mitglied einer Domäne) das gleiche Share eingebunden habe und das nach jedem Reboot problemlos zur Verfügung steht. In beiden Fällen ist die Option "Anmeldedaten speichern" natürlich aktiv.

Offensichtlich hat es mit irgendeiner GPO zu tun, ich wüsste nur nicht welche.

Entweder erzwingt die GPO, dass die Zugangsdaten nicht gespeichert werden (aber dann könnte das Netzlaufwerk diese ja einfach noch mal abfragen - was es aber nicht tut) oder die Domäne erzwingt, dass Netzlaufwerk-Anmeldedaten über den DC laufen müssen?!

Kennt sich irgendwer in dem Umfeld aus und kann abschätzen wodurch mein "Problem" verursacht wird oder kennt sogar die GPO die das auslöst?

Die Frage ist rein aus Interesse halber. Funktionieren tut ja im Prinzip alles.

 

[Sephe]

Zu wenig Informationen. Ich denke es handelt sich um eine Konfiguration, dass Domänenmitglieder erst nach Herstellung der VPN zur Firmenfirewall alle Internetverbindungen nutzen können.
(Quasi ohne VPN ist nur http/s erlaubt, um notfalls captive Portals bedienen zu können)

 

[Die wilde Inge]

Hi,

schon mal danke für deine Einschätzung. Split-Tunneling ist aktiv. Das heißt nur die Kommunikation die auch über das Firmennetz laufen soll, läuft darüber. Alles andere geht ganz normal übers private Ethernet ins WAN.

 

[wirelessy]

Kann es sein, dass der Domain-PC Kerberos machen muss und die andere Kiste NTLM zur Anmeldung macht?
Kerberos involviert nen KDC, NTLM nicht.

NTLM gehört abgeschaltet, imo.
Vielleicht kannst du mal nen Netzwerkcapture anfertigen jeweils.

//e: Der Share hat mit der Domäne nichts zu tun?

 

[Die wilde Inge]

Das HiDrive wird von der Firma gestellt und die Login Daten sind die gleichen wie an der Domäne. Da ich die Verbindung mit dem Share (\\smb3.hidrive.strato.com\root\user\xxxx\ aber auch von anderen Rechnern herstellen kann, erfolgt die angesprochene Limitierung offenbar auf meinem Laptop1.

Sobald das VPN 1x kurz aktiv war, steht das Netzlaufwerk für die Dauer der Sitzung durchgehend zur Verfügung, auch wenn das VPN nicht mehr aktiv ist. Es geht also wirklich nur um die Authentifizierung, nicht um den eigentlich Zugriff. Ansonsten würde es ja auf Laptop2 sowieso gar nicht funktionieren.

Vielleicht versucht Laptop1 die Anmeldung durch den DC zu authorisieren weil der Login als solches als Domänenbenutzer erkannt wird, bzw jeder Anmeldeversuch standardmäßig im Domänen-Kontext versucht wird. Wenn ich auf das passwort-geschütze Share eines Rechners im Netzwerk zugreife, der gar nicht in Domäne ist, dann ist der Login ja auch immer erstmal im Kontext 'Domäne\' und deswegen gehts zum DC.

Fraglich ob sich das überhaupt vermeiden lässt (sofern meine Theorie stimmen würde).

 

[wirelessy]

Ja, genau darüber spreche ich.
Kerberos funktioniert so, und NTLM eben nicht.
Das sind zwei Anmeldemechanismen, und ich kann steuern, welchen davon ich nutze.
HiDrive scheint da mehrere Möglichkeiten anzubieten.
Ein Netzwerkmitschnitt würde dir zeigen, was da eigentlich durch die Leitung fließt.
Mit Wireshark kann man den auch relativ simpel mitschneiden und auswerten - im Falle des VPN ist das ggfs. nicht so einfach.

 

[Die wilde Inge]

@wirelessy danke für den Tipp, probiere ich mal aus.