none
Máquinas externas com dificuldade de acessar o domínio. RRS feed

  • Pergunta

  • Tudo bem galera?

    Vamos lá, estou com um problema em nosso ambiente e gostaria da ajuda de vocês.
    Vou tentar explicar o que se passa.
    Tenho um controlador de domínio dentro da empresa que funcionar perfeitamente, GPO, instalação de pacote e etc, o meu problema está nas máquinas que estão fora da empresa (foda da rede interna), com isso as GPO, pacotes e etc. não são aplicados.
    Os notebooks acessam as informações da empresa através de VPN (OpenVPN) e nosso firewall é um PFsense, quando as máquinas se conectam na VPN as políticas não são aplicadas.
    Dentro desse senários qual seria a melhor saída? 
    Existe alguma aplicação que faz esse meio de campo com os equipamentos que estão fora da empresa?
    Excluir essas máquinas do controlador de domínio?
    Não posso nem por regra de política de senhas, para a mesma ser alterada a cada “x” dias.
    Esses notebooks nunca retornam para empresa, pois estamos no estado de São Paulo e os notebooks estão espalhados pelo Brasil todo.

    Abraços
    quinta-feira, 24 de novembro de 2016 21:51

Respostas

  • Tiago,

    Você precisa entender que as estações para receber GPOs precisam estar adicionadas ao domínio, onde necessitam de comunicação com o DNS/AD da empresa para autenticação/validação da conta e entrega das politicas e acesso aos recursos, no seu caso que possui uma VPN, você precisaria conectar na VPN antes de efetuar logon na rede. Se hoje este é o seu cenário, você precisa anaisar se os clientes VPN estão recebendo drop de conexão no firewall.

    A microsoft possui uma role/função chamada Direct Access que dispensa conexão com a VPN, ou seja, o cliente esta diretamente conectado à rede através de um tunelamento IP-HTTPS. 

    https://technet.microsoft.com/pt-br/library/hh831416%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

    https://blogs.technet.microsoft.com/canitpro/2014/01/05/step-by-step-enabling-directaccess-in-windows-server-2012-r2/

    Leia a respeito e veja os videos no Youtube sobre a funcionalidade.

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta Thales F Quintas sexta-feira, 25 de novembro de 2016 11:57
    quinta-feira, 24 de novembro de 2016 22:58
    Moderador

Todas as Respostas

  • Tiago,

    Você precisa entender que as estações para receber GPOs precisam estar adicionadas ao domínio, onde necessitam de comunicação com o DNS/AD da empresa para autenticação/validação da conta e entrega das politicas e acesso aos recursos, no seu caso que possui uma VPN, você precisaria conectar na VPN antes de efetuar logon na rede. Se hoje este é o seu cenário, você precisa anaisar se os clientes VPN estão recebendo drop de conexão no firewall.

    A microsoft possui uma role/função chamada Direct Access que dispensa conexão com a VPN, ou seja, o cliente esta diretamente conectado à rede através de um tunelamento IP-HTTPS. 

    https://technet.microsoft.com/pt-br/library/hh831416%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

    https://blogs.technet.microsoft.com/canitpro/2014/01/05/step-by-step-enabling-directaccess-in-windows-server-2012-r2/

    Leia a respeito e veja os videos no Youtube sobre a funcionalidade.

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta Thales F Quintas sexta-feira, 25 de novembro de 2016 11:57
    quinta-feira, 24 de novembro de 2016 22:58
    Moderador
  • Tiago 

    Veja se este post ajuda:

    Problems pushing Group Policy

    over a VPN tunnel

    http://searchwindowsserver.techtarget.com/answer/Problems-pushing-Group-Policy-over-a-VPN-tunnel


    Vladimir Faustino ITILv3 | MCP | MCTS | MTA



    sexta-feira, 25 de novembro de 2016 00:45
  • Bom dia.

    Agradeço à todos!

    Acabei criando um arquivo .bat que inicia a openvpn no boot da maquina, que ficou assim:

    cd "C:\Program Files (x86)\OpenVPN Manager"

    OpenVPNManager.exe -connect "arquivo do usuário (service)"

    timeout 60
    gpupdate /force

    exit

    Quando tem conexão com a internet já disca e faz o sincronismo com a rede, AD etc!

    Abraços.

    quinta-feira, 16 de fevereiro de 2017 13:52