Discussione:
Accesso a dominio Windows da VPN hardware
(troppo vecchio per rispondere)
m***@hotmail.it
2007-03-31 07:36:21 UTC
Permalink
Ho il seguente problema:
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
Grazie
Edoardo Benussi [MVP]
2007-03-31 18:39:04 UTC
Permalink
Post by m***@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
la vpn è considerata come una connessione di accesso remoto.

una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-02 12:38:39 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
la vpn è considerata come una connessione di accesso remoto.
una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
Ti ringrazio per la dritta. Non posso provare subito ma quanto prima
farò un tentativo per provare la tua soluzione.
m***@hotmail.it
2007-04-03 14:49:30 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
la vpn è considerata come una connessione di accesso remoto.
una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
Ciao, ho provato quanto mi hai consigliato ma mentre facevo le prove
da un certo momento in poi non sono più riuscito ad accedere al server
remoto. In pratica lanciando il client VPN, il router mi autentica ma
non riesco più ad entrare nel server e nei client remoti (cosa che
prima facevo digitando \\xxx.xxx.xxx.xxx). Cosa può essere successo?
m***@hotmail.it
2007-04-04 06:51:44 UTC
Permalink
Post by m***@hotmail.it
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
la vpn è considerata come una connessione di accesso remoto.
una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
Ciao, ho provato quanto mi hai consigliato ma mentre facevo le prove
da un certo momento in poi non sono più riuscito ad accedere al server
remoto. In pratica lanciando il client VPN, il router mi autentica ma
non riesco più ad entrare nel server e nei client remoti (cosa che
prima facevo digitando \\xxx.xxx.xxx.xxx). Cosa può essere successo?- Nascondi testo tra virgolette -
- Mostra testo tra virgolette -
Credo di aver risolto. L'ultimo problema e parecchi altri piccoli
malfunzionamenti riscontrati nei giorni scorsi erano causati dalla
versione del software del router 3Com. Infatti il router, pur essendo
stato acquistato non più di una settimana fa, aveva la versione del
software aggiornata a maggio 2004. Dopo di questa sono usciti ben
quattro aggiornamenti fino ad arrivare alla versione 2.02-168 che è
quella che ho installato ieri.
Di questo puzzle mi manca solo il tassello del perchè ha funzionato
qualche giorno, anche se credo possa dipendere dai test che stavo
facendo per cercare di autenticare il client al dominio remoto.
Grazie
Edoardo Benussi [MVP]
2007-04-04 10:13:23 UTC
Permalink
Post by m***@hotmail.it
Credo di aver risolto. L'ultimo problema e parecchi altri piccoli
malfunzionamenti riscontrati nei giorni scorsi erano causati dalla
versione del software del router 3Com. Infatti il router, pur essendo
stato acquistato non più di una settimana fa, aveva la versione del
software aggiornata a maggio 2004. Dopo di questa sono usciti ben
quattro aggiornamenti fino ad arrivare alla versione 2.02-168 che è
quella che ho installato ieri.
Di questo puzzle mi manca solo il tassello del perchè ha funzionato
qualche giorno, anche se credo possa dipendere dai test che stavo
facendo per cercare di autenticare il client al dominio remoto.
Grazie
ottimo. ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-04 14:26:50 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
la vpn è considerata come una connessione di accesso remoto.
una volta fatto il join al dominio
con il client remoto quando la vpn è attiva
puoi fare l'autenticazione al dominio
imponendo nella schermata di logon
di attivare una connessione di accesso remoto
prima di tentare il logon e la tua connessione
sarà proprio la tua connessione vpn.
Ciao, ho provato la soluzione da te consigliata, ma non riesco ad
accedere al dominio. Nella schermata di logon attivo la connessione
vpn, e nel campo utente digito dominio\utente; si vede andare a buon
fine la connessione VPN, la schermata di logon diventa di color
'grigetto' e dopo un paio di secondi dice che non è possibile accedere
al dominio.
Il terminatore VPN remoto è il router e non windows server.
Ciao
Edoardo Benussi [MVP]
2007-04-04 14:34:58 UTC
Permalink
Post by m***@hotmail.it
Il terminatore VPN remoto è il router e non windows server.
ahia.
fammi pensare...
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-10 13:06:12 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Il terminatore VPN remoto è il router e non windows server.
ahia.
fammi pensare...
Basterebbe un modo qualsiasi per accedere alle risorse del dominio
remoto senza dover mettere le autorizzazioni a 'everyone'...
Edoardo Benussi [MVP]
2007-04-10 15:17:41 UTC
Permalink
Post by m***@hotmail.it
Basterebbe un modo qualsiasi per accedere alle risorse del dominio
remoto senza dover mettere le autorizzazioni a 'everyone'...
mi puoi postare la configurazione tcp/ip
della connessione vpn ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-10 16:03:57 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Basterebbe un modo qualsiasi per accedere alle risorse del dominio
remoto senza dover mettere le autorizzazioni a 'everyone'...
mi puoi postare la configurazione tcp/ip
della connessione vpn ?
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Spero che sia quello che mi hai chiesto:

Indirizzo IP del Router 3Com 3CR870-95 = 192.168.2.54
Subnet Mask = 255.255.255.0

VPN Mode = PPTP
Firewall's LAN IP Address = 192.168.2.54
First remote IP address = 192.168.2.35
Last remote IP address = 192.168.2.40
Tunnel type = PPTP
Connection type = Remote user access

Grazie
Edoardo Benussi [MVP]
2007-04-11 10:39:31 UTC
Permalink
no, io intendevo dal client
vpn quando la connessione vpn è attivata
lancia un ipconfig /all e posta qui il risultato.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-11 14:19:34 UTC
Permalink
Post by Edoardo Benussi [MVP]
no, io intendevo dal client
vpn quando la connessione vpn è attivata
lancia un ipconfig /all e posta qui il risultato.
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Scusami, oltretutto ti avevo postato la configurazione VPN del mio
router e non di quello remoto.
Ecco quello che mi hai chiesto:

Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : pcgb
Suffisso DNS primario . . . . . . . : SERVER.nomeazienda.it
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No
Elenco di ricerca suffissi DNS. . . . : SERVER.nomeazienda.it
nomeazienda.it



Scheda Ethernet Connessione alla rete locale (LAN):

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : Realtek RTL8168/8111
PCI-E Gigabit Ethernet NIC
Indirizzo fisico. . . . . . . . . . . : 00-17-31-9C-6E-29
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.2.14
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 192.168.2.54
Server DNS . . . . . . . . . . . . . : 192.168.2.100



Scheda PPP prt:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP)
Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.195
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
Server DNS . . . . . . . . . . . . . : 192.168.0.50


Grazie mille per l'interessamento.
Ciao
m***@hotmail.it
2007-04-12 07:41:36 UTC
Permalink
Post by Edoardo Benussi [MVP]
no, io intendevo dal client
vpn quando la connessione vpn è attivata
lancia un ipconfig /all e posta qui il risultato.
Ti invio l'IPCONFIG di due connessioni VPN diverse alle quali mi
connetto dal PC di casa. I router che fanno da terminatori VPN sono
identici sia nel modello che nella configurazione e i due domini sono
molto simili. In un dominio riesco ad accedere alle condivisioni
predisposte per gli 'Authenticated users' (la prima volta che accedo
mi chiede userID e password ed inserendo i dati di un utente del
dominio tutto funziona), mentre nell'altro dominio con le condivisioni
configurate nello stesso identico modo mi da 'Accesso negato'. L'unica
differenza è che il dominio dove riesco ad accedere alle condivisioni
è un dominio Windows 2000 server, mentre dove non funziona è un
dominio Windows 2003 server.

Riassumendo:
Client lo stesso (PC di casa connesso tramite
un modem 56K)
Router VPN remoto identici sia nel modello (3CR870-95) che nella
configurazione
Domini molto simili (per non dire uguali) ma uno
con W2000 Server ed uno con W2003 Server

Di seguito ti allego i due IPCONFIG

SITUAZIONE FUNZIONANTE (W2000 Server):

***************************************************************************
Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : pc01
Suffisso DNS primario . . . . . . . :
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No

Scheda Ethernet Connessione alla rete locale (LAN):

Stato supporto . . . . . . . . . . . : Supporto disconnesso
Descrizione . . . . . . . . . . . . . : VIA Rhine II Fast Ethernet
Adapter
Indirizzo fisico. . . . . . . . . . . : 00-13-8F-4E-0C-F9

Scheda PPP Tiscali:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 62.11.40.16
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 62.11.40.16
Server DNS . . . . . . . . . . . . . : 213.205.32.70
213.205.36.70
NetBIOS su TCPIP. . . . . . : Disabilitato

Scheda PPP Azienda srl:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.2.37
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 192.168.2.37
Server DNS . . . . . . . . . . . . . : 192.168.2.54

Ti indico anche cosa riporta lo 'stato di connessione':

Nome periferica WAN Miniport (PPTP)
Tipo di periferica VPN
Tipo server PPP
Trasporti TCP/IP
Autenticazione MS CHAP
Crittografia MPPE 128
Compressione (nessuno)
Frame collegamento multiplo PPP Disattivato
Indirizzo IP del server 192.168.2.54
Indirizzo IP client 192.168.2.37
***************************************************************************



SITUAZIONE NON FUNZIONANTE (W2003 Server):

***************************************************************************
Configurazione IP di Windows

Nome host . . . . . . . . . . . . . . : pc01
suffisso DNS primario . . . . . . . :
Tipo nodo . . . . . . . . . : Sconosciuto
Routing IP abilitato. . . . . . . . . : No
Proxy WINS abilitato . . . . . . . . : No

Scheda Ethernet Connessione alla rete locale (LAN):

Stato supporto . . . . . . . . . . . : Supporto disconnesso
Descrizione . . . . . . . . . . . . . : VIA Rhine II Fast Ethernet
Adapter
Indirizzo fisico. . . . . . . . . . . : 00-13-8F-4E-0C-F9

Scheda PPP Tiscali:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 62.11.40.16
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 62.11.40.16
Server DNS . . . . . . . . . . . . . : 213.205.32.70
213.205.36.70
NetBIOS su TCPIP. . . . . . : Disabilitato

Scheda PPP Azienda:

Suffisso DNS specifico per connessione:
Descrizione . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Indirizzo fisico. . . . . . . . . . . : 00-53-45-00-00-00
DHCP abilitato. . . . . . . . . . . . : No
Indirizzo IP. . . . . . . . . . . . . : 192.168.0.195
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . : 192.168.0.195
Server DNS . . . . . . . . . . . . . : 192.168.0.50

Ti indico anche cosa riporta lo 'stato di connessione':

Nome periferica WAN Miniport (PPTP)
Tipo di periferica VPN
Tipo server PPP
Trasporti TCP/IP
Autenticazione MS CHAP
Crittografia MPPE 128
Compressione (nessuno)
Frame collegamento multiplo PPP Disattivato
Indirizzo IP del server 192.168.0.50
Indirizzo IP client 192.168.0.195
***************************************************************************

A questo punto penso che la differenza sia nei domini anche se non
riesco a capire dove. Le cartelle condivise alle quali cerco di
accedere tramite VPN sono perfettamente identiche:
Condivisione: 'everyone' controllo completo
Protezione: 'administrator (DOMINIO
\administrator) e 'Authenticated Users' controllo completo

Resto a disposizione per qualsiasi altra informazione ti serva e ti
ringrazio moltissimo per l'interessamento.
Ciao
Edoardo Benussi [MVP]
2007-04-12 10:57:10 UTC
Permalink
Post by m***@hotmail.it
A questo punto penso che la differenza sia nei domini anche se non
riesco a capire dove. Le cartelle condivise alle quali cerco di
Condivisione: 'everyone' controllo completo
Protezione: 'administrator (DOMINIO
\administrator) e 'Authenticated Users' controllo completo
Resto a disposizione per qualsiasi altra informazione ti serva e ti
ringrazio moltissimo per l'interessamento.
questo
Server DNS . . . . . . . . . . . . . : 192.168.0.50
è il vero server dns del dominio
verso il quale non funziona la vpn ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-12 13:06:06 UTC
Permalink
Post by m***@hotmail.it
Post by m***@hotmail.it
A questo punto penso che la differenza sia nei domini anche se non
riesco a capire dove. Le cartelle condivise alle quali cerco di
Condivisione: 'everyone' controllo completo
Protezione: 'administrator (DOMINIO
\administrator) e 'Authenticated Users' controllo completo
Resto a disposizione per qualsiasi altra informazione ti serva e ti
ringrazio moltissimo per l'interessamento.
questo
Server DNS . . . . . . . . . . . . . : 192.168.0.50
è il vero server dns del dominio
verso il quale non funziona la vpn ?
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
del 'dominio funzionante'.
Edoardo Benussi [MVP]
2007-04-12 13:42:59 UTC
Permalink
Post by m***@hotmail.it
No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
del 'dominio funzionante'.
per l'intervento di Woland mi sorge questo dubbio:
ma chi autentica i chiamanti in vpn ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-12 14:15:20 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
No, è l'indirizzo IP del router VPN. E' l'equivalente del 192.168.2.54
del 'dominio funzionante'.
ma chi autentica i chiamanti in vpn ?
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
Edoardo Benussi [MVP]
2007-04-12 15:41:58 UTC
Permalink
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-13 09:54:56 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
users', mi compare la seguente finestra di errore:

'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.

Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
Woland
2007-04-13 10:04:16 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
users', mi compare la seguente finestra di errore:

'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.

Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.


io non ci sto capendo piu' nulla
C'e un dominio funzionante ed uno no?
ci sono due AD?
ci sono 2 VPN?
una cosa funziona ed una no sullto stesso indirizzo IP?
Mi aiutate a capire in che punto siamo che forse posso dare una mano?
Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
configurazione ha con gli indirizzi giusti ?
scusate ma oramai mi sono " ingarellato"
--
Woland
m***@hotmail.it
2007-04-13 10:44:06 UTC
Permalink
Post by m***@hotmail.it
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
io non ci sto capendo piu' nulla
C'e un dominio funzionante ed uno no?
ci sono due AD?
ci sono 2 VPN?
una cosa funziona ed una no sullto stesso indirizzo IP?
Mi aiutate a capire in che punto siamo che forse posso dare una mano?
Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
configurazione ha con gli indirizzi giusti ?
scusate ma oramai mi sono " ingarellato"
--
Woland
Ti indico di seguito il link al messaggio di questa discussione dove
indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
chiarirti la situazione altrimenti chiedimi pure tutte le
delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
(anche perchè io non so più dove sbattere la testa).

http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd07f2ba3b1ef
Woland
2007-04-13 10:51:05 UTC
Permalink
Post by m***@hotmail.it
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
io non ci sto capendo piu' nulla
C'e un dominio funzionante ed uno no?
ci sono due AD?
ci sono 2 VPN?
una cosa funziona ed una no sullto stesso indirizzo IP?
Mi aiutate a capire in che punto siamo che forse posso dare una mano?
Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
configurazione ha con gli indirizzi giusti ?
scusate ma oramai mi sono " ingarellato"
--
Woland
Ti indico di seguito il link al messaggio di questa discussione dove
indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
chiarirti la situazione altrimenti chiedimi pure tutte le
delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
(anche perchè io non so più dove sbattere la testa).

http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd07f2ba3b1ef

Scusa MDG tu hai postato un IPCONFIG di un Router che dice che ha come range
questi indirizzi 192.168.2.35-40 sono quelli che sono abilitati per la VPN?
Nell'altro router che range hai abilitato?
--
Woland
m***@hotmail.it
2007-04-13 12:53:19 UTC
Permalink
Post by m***@hotmail.it
Post by m***@hotmail.it
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Nel 'dominio funzionante', da esplora risorse digito '\
\192.168.0.1' (server) e prima di visualizzarmi il contenuto del
server mi chiede userID e password. Entrando con le credenziali di un
'Authenticated users' il tutto funziona.
in quello non funzionante compare pure la richiesta credenziali
oppure non compare neanche quella ?
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
io non ci sto capendo piu' nulla
C'e un dominio funzionante ed uno no?
ci sono due AD?
ci sono 2 VPN?
una cosa funziona ed una no sullto stesso indirizzo IP?
Mi aiutate a capire in che punto siamo che forse posso dare una mano?
Non e' che MDG e' cosi' gentiel da scrivere piano piano di nuovo che
configurazione ha con gli indirizzi giusti ?
scusate ma oramai mi sono " ingarellato"
--
Woland
Ti indico di seguito il link al messaggio di questa discussione dove
indico ad Edoardo 2 domini distinti ai quali mi connetto tramite VPN
dal mio pc di casa (uno funziona ed uno no). Vedi se riesci a
chiarirti la situazione altrimenti chiedimi pure tutte le
delucidazioni che vuoi. Apprezzo molto l'aiuto che mi state dando
(anche perchè io non so più dove sbattere la testa).
http://groups.google.it/group/microsoft.public.it.winserver/msg/bc3dd...
Scusa MDG tu hai postato un IPCONFIG di un Router che dice che ha come range
questi indirizzi 192.168.2.35-40 sono quelli che sono abilitati per la VPN?
Nell'altro router che range hai abilitato?
--
Woland- Nascondi testo tra virgolette -
- Mostra testo tra virgolette -
Nell'altro router il range indicato è 192.168.0.150-200. infatti negli
IPCONFIG riportati nel messaggio per il quale ti ho indicato il link,
vengono dati al client rispettivamente gli IP 192.168.2.37 e
192.168.0.195.
Edoardo Benussi [MVP]
2007-04-14 08:54:30 UTC
Permalink
Post by m***@hotmail.it
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
funziona nel senso che compare la richiesta
di autenticazione o che vi accedi direttamente ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-16 10:08:09 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
No, in quello non funzionante non compare nemmeno la videata di
richiesta delle credenziali, appena da esplora risorse ad esempio
digito '\\192.168.0.1\c\cartella', dove 'cartella' è un indirizzario
con l'accesso abilitato solo per 'Administrator' e 'Authenticated
'Impossibile accedere a \\192.168.0.1\c\cartella. L'utente potrebbe
non disporre dell'autorizzazione necessaria per l'utilizzo della
risorsa di rete. Per le autorizzazioni di accesso, contattare
l'amministratore del server. Accesso negato.
Considera che se aggiungo 'Everyone' alla 'Protezione' di 'cartella',
il tutto funziona.
funziona nel senso che compare la richiesta
di autenticazione o che vi accedi direttamente ?
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
server. Ho fatto una prova e condividendo nello stesso identico modo
delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
Edoardo Benussi [MVP]
2007-04-16 10:38:02 UTC
Permalink
Post by m***@hotmail.it
Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
server. Ho fatto una prova e condividendo nello stesso identico modo
delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
hai giocherellato con gli user rights
sulle domain controller policies ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-16 12:57:43 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Vi accedo direttamente. Sembrerebbe comunque un problema solo del PC
server. Ho fatto una prova e condividendo nello stesso identico modo
delle cartelle su un pc client del dominio, da VPN entro dopo che mi è
stato chiesto UID e PW. Non riesco proprio a capire cosa possa essere.
hai giocherellato con gli user rights
sulle domain controller policies ?
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Assolutamente no, è un dominio creato da pochissimo (ne gestisco
diversi). Le operazioni effettuate su questo dominio sono talmente
semplici da risultare banali:
- installato il server W2003 come controller primario di dominio;
- creato gli utenti;
- create le condivisioni e settati i permessi sulle cartelle;
- configurato il server DNS con i server d'inoltro.
- per il momento non ho ancora toccato nessuna policy

Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
VPN sulle cartelle del server abilitate per l'accesso degli
'Authenticated users'.
Edoardo Benussi [MVP]
2007-04-16 13:03:32 UTC
Permalink
Post by m***@hotmail.it
Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
VPN sulle cartelle del server abilitate per l'accesso degli
'Authenticated users'.
ti spiace provare a sostituire
"autheticated users" con "domain users"
e riprovare ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-16 13:54:47 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Tutto funziona effettivamente come dovrebbe ad esclusione dell'accesso
VPN sulle cartelle del server abilitate per l'accesso degli
'Authenticated users'.
ti spiace provare a sostituire
"autheticated users" con "domain users"
e riprovare ?
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Niente da fare, sempre il solito messaggio di 'Accesso negato'.
Siccome mi stanno venendo tutti i dubbi del mondo, ti riassumo le
condivisioni/protezioni della cartella alla quale non riesco ad
accedere:

DISCO C DEL SERVER:
Condivisione:
Nome condivisione: C
Autorizzazioni condivisione: everyone (controllo completo)

Protezione:
Utenti e gruppi: Administrators (DOMINIO\Administrators) (controllo
completo), Authenticated users (controllo completo), everyone
(controllo completo)

Cartella con 'Accesso negato' (c:\cartella):
Protezione: Administrator (DOMINIO\Administrator) (controllo
completo), Authenticated users (controllo completo), Domain Users
(DOMINIO\Domain Users) (controllo completo)

I permessi per 'everyone' nel disco C del server sono momentanei (i
fornitori di una applicazione lo hanno momentaneamente richiesto).
Edoardo Benussi
2007-04-16 19:00:17 UTC
Permalink
<***@hotmail.it> wrote in message news:***@y80g2000hsf.googlegroups.com...
[cut all]

hai forse applicato un security template
a livello di domain controller policies ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-17 09:06:41 UTC
Permalink
Post by Edoardo Benussi
[cut all]
hai forse applicato un security template
a livello di domain controller policies ?
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Non ho ancora 'nemmeno sfiorato' le policies. E' un server installato
da pochissimo dove ho fatto solo le operazioni che ti ho indicato in
un post precedente e niente altro. Mi rendo conto che non è facile
(per non dire imposiibile) aiutarmi, quindi capisco benissimo se
decidi di lasciar 'perdere la mia causa'. Io devo andare via qualche
giorno per lavoro, quando torno (quindi laprossima settimana) pensavo
di azzerare tutte le condivisioni ed i permessi e di riconfigurarli da
zero.
Cosa ne dici?
Edoardo Benussi [MVP]
2007-04-17 09:11:15 UTC
Permalink
Post by m***@hotmail.it
Non ho ancora 'nemmeno sfiorato' le policies. E' un server installato
da pochissimo dove ho fatto solo le operazioni che ti ho indicato in
un post precedente e niente altro. Mi rendo conto che non è facile
(per non dire imposiibile) aiutarmi, quindi capisco benissimo se
decidi di lasciar 'perdere la mia causa'. Io devo andare via qualche
giorno per lavoro, quando torno (quindi laprossima settimana) pensavo
di azzerare tutte le condivisioni ed i permessi e di riconfigurarli da
zero.
Cosa ne dici?
che mi sembra un'ottima idea ? :-)
quando torni facci sapere.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-17 10:04:41 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by m***@hotmail.it
Non ho ancora 'nemmeno sfiorato' le policies. E' un server installato
da pochissimo dove ho fatto solo le operazioni che ti ho indicato in
un post precedente e niente altro. Mi rendo conto che non è facile
(per non dire imposiibile) aiutarmi, quindi capisco benissimo se
decidi di lasciar 'perdere la mia causa'. Io devo andare via qualche
giorno per lavoro, quando torno (quindi laprossima settimana) pensavo
di azzerare tutte le condivisioni ed i permessi e di riconfigurarli da
zero.
Cosa ne dici?
che mi sembra un'ottima idea ? :-)
quando torni facci sapere.
ciao.
--
Microsoft® MVP - Windows Serverhttp://mvp.support.microsoft.com
Ok, grazie a te ed anche a Woland. Vi farò sapere.
Ciao

Woland
2007-04-12 13:24:18 UTC
Permalink
<***@hotmail.it> ha scritto nel messaggio news:***@d57g2000hsg.googlegroups.com...
Ho il seguente problema:
- ho una rete con un dominio windows (client 2000/XP e server 2003);
- in questa rete c'è un router firewall VPN 3Com;
- da un client remoto, con il client standard di windows XP accedo
tranquillamente al router VPN (tramite PPTP) e quindi accedo alla rete
(se guardo sui dettagli della connessione vedo come indirizzo IP del
server l'indirizzo del router);
- entro nei PC della rete digitando \\Indirizzo IP e riesco
naturalmente ad entrare solo negli indirizzari che hanno i permessi
per 'everyone' e non in quelli con permessi 'authenticated users';
- come devo fare per autenticare al dominio il mio client remoto?
Grazie
Scusate Mdg98 ed Edoardo se mi intrometto di nuovo:
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da questo
I problemi che dichiara mdg98 mi sembrano due diversi:

Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in VPN se
lo fa dal client microsoft
La seconda e' che se riguardate come ha messo i permessi sulle cartlle ci
dovrebbe esseer un errore di fondo: credo chye debba mettere everyone nei
permessi NFTS e gli utenti autenticati sui permessi di autenticazione

Spero di non aver suggerito fesserie, in quanto stavande disputando sul DS
su gli ultimi post
Ciao ad entrambi
--
Woland
Edoardo Benussi [MVP]
2007-04-12 13:42:15 UTC
Permalink
fai benissimo, può essere che mi sia sfuggito qualcosa.
Post by Woland
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
Post by Woland
La seconda e' che se riguardate come ha messo i permessi sulle
cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
mettere everyone nei permessi NFTS e gli utenti autenticati sui
permessi di autenticazione
questa non l'ho capita.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Woland
2007-04-12 13:59:25 UTC
Permalink
Post by Edoardo Benussi [MVP]
fai benissimo, può essere che mi sia sfuggito qualcosa.
Post by Woland
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
Post by Woland
La seconda e' che se riguardate come ha messo i permessi sulle
cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
mettere everyone nei permessi NFTS e gli utenti autenticati sui
permessi di autenticazione
questa non l'ho capita.
Per i permessi su cartelle condivise io lascio everyone in lettura( se non
e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
sono strani dal mio punto di vista: ma forse sono solo abitudini.

Ciao

Woland
Post by Edoardo Benussi [MVP]
--
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Edoardo Benussi [MVP]
2007-04-12 14:11:31 UTC
Permalink
Post by Woland
Per i permessi su cartelle condivise io lascio everyone in lettura(
se non e' indispensabile toglierlo) e metto i permessi per gli utenti
specifici a livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte
che l'utente via VPN non si autentica per i motivi di cui ti sono
venuti i dubbi anche a te, e il tipo di permessi per cartelle shared
che mette lui sono strani dal mio punto di vista: ma forse sono solo
abitudini.
io faccio come te anzi peggio
sulla condivisione metto everyone con diritto full control
e poi do i permessi effettivi solo sulle acl.
ma non mi pare che mdg faccia qualcosa di diverso,
il problema è che lui non si autentica al dominio.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
m***@hotmail.it
2007-04-12 14:18:54 UTC
Permalink
Post by Woland
Post by Edoardo Benussi [MVP]
fai benissimo, può essere che mi sia sfuggito qualcosa.
Post by Woland
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
Post by Woland
La seconda e' che se riguardate come ha messo i permessi sulle
cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
mettere everyone nei permessi NFTS e gli utenti autenticati sui
permessi di autenticazione
questa non l'ho capita.
Per i permessi su cartelle condivise io lascio everyone in lettura( se non
e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
sono strani dal mio punto di vista: ma forse sono solo abitudini.
Ciao
Woland
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.
Woland
2007-04-13 08:26:39 UTC
Permalink
Post by Woland
Post by Edoardo Benussi [MVP]
fai benissimo, può essere che mi sia sfuggito qualcosa.
Post by Woland
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
Post by Woland
La seconda e' che se riguardate come ha messo i permessi sulle
cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
mettere everyone nei permessi NFTS e gli utenti autenticati sui
permessi di autenticazione
questa non l'ho capita.
Per i permessi su cartelle condivise io lascio everyone in lettura( se non
e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
sono strani dal mio punto di vista: ma forse sono solo abitudini.
Ciao
Woland
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.

Scusami MDG ma forse io sono un po di "coccio" e quindi ti devo chiedere
alcune cose:
tu dici che il router ti autentica ma questo non e' possibile perche' e' un
router, quindi come ti aveva gia' chiesto Edoardo dovresti cercare di
spiegarci se quando il client accede alla VPN tramite client Microsoft tu o
chi per te, immette una username ed una password che stanno nell'AD del tuo
dominio, ed il nome del dominio ( nome NETBIOS).
Puoi dirci questo per piacere?
--
Woland
Woland
2007-04-13 10:37:11 UTC
Permalink
Post by Woland
Post by Edoardo Benussi [MVP]
fai benissimo, può essere che mi sia sfuggito qualcosa.
Post by Woland
mi sono letto tutti i post e mi sono perso, ma vorrei ripartire da
Uno e' che dovrebbe creare delle utenze in AD per l'autenticazione in
VPN se lo fa dal client microsoft
questo è interessante: ora che mi ci fai pensare
a questo particolare non capisco come venga
autenticata la connessione vpn visto che il server vpn
è il router.
Post by Woland
La seconda e' che se riguardate come ha messo i permessi sulle
cartlle ci dovrebbe esseer un errore di fondo: credo chye debba
mettere everyone nei permessi NFTS e gli utenti autenticati sui
permessi di autenticazione
questa non l'ho capita.
Per i permessi su cartelle condivise io lascio everyone in lettura( se non
e' indispensabile toglierlo) e metto i permessi per gli utenti specifici a
livello di condivisione e il sistema mi lavora benissimo.
MDG mi pare che faccia il contrario e non vorrei che questo, a perte che
l'utente via VPN non si autentica per i motivi di cui ti sono venuti i
dubbi anche a te, e il tipo di permessi per cartelle shared che mette lui
sono strani dal mio punto di vista: ma forse sono solo abitudini.
Ciao
Woland
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.

Scusate ancora mi sono riletto tutto piano piano ed ora ho capito (a parte
il range di indirizzi 192.168.2.35-40) e provo a ricapitolare
Allora nel dominio "windows 2000" entri e ti chiede di autenticarti il
sistema solo quando provi ad accedere ad una risorsa di rete, ti autentichi
per quella risorsa e la accedi, ma non sei autenticato per la VPN.........
nel senso che in una VPN l'autenticazione ti deve esseer richiesta dal
sistema che gestisce il controllo remoto priam di proiettarti sulla rete.
Nel secondo dominio windows 2003, siccome il sistema non ti chiede di
autenticarti quando accedi ad uan risorsa ma semplicemente ti dice che non
sei autorizzato per quellla risorsa, non la accedi e basta ( se metti
everyone accedi pure se sei un marziano) ma conitnui a non autenticaerti nel
dominio entrando in VPN.
Ora io uso ISA2000 in una VPN ed ISA2004 in un altra VPN e quindi solo con i
router non so come si possa fare ma il sistema W2003 dovrebbe avere su
Acesso Remoto le capacistà di mandarti la finestra di logon PRIMA di
proiettarti sulla rete.
Cioe' ti devi presentare al dominio gia' con uno user che ha l'accesso
remoto in quel dominio per poter poi entrare sulla rete come oggett
conosciuto all'AD.
Spero di non avere creato maggiore confusione

Ciao a tutti e 2
-
Woland
Edoardo Benussi [MVP]
2007-04-14 08:21:00 UTC
Permalink
Post by Woland
Scusate ancora mi sono riletto tutto piano piano ed ora ho capito (a
parte il range di indirizzi 192.168.2.35-40) e provo a ricapitolare
Allora nel dominio "windows 2000" entri e ti chiede di autenticarti il
sistema solo quando provi ad accedere ad una risorsa di rete, ti
autentichi per quella risorsa e la accedi, ma non sei autenticato per
la VPN......... nel senso che in una VPN l'autenticazione ti deve
esseer richiesta dal sistema che gestisce il controllo remoto priam
di proiettarti sulla rete. Nel secondo dominio windows 2003, siccome
il sistema non ti chiede di autenticarti quando accedi ad uan risorsa
ma semplicemente ti dice che non sei autorizzato per quellla risorsa,
non la accedi e basta ( se metti everyone accedi pure se sei un
marziano) ma conitnui a non autenticaerti nel dominio entrando in VPN.
Ora io uso ISA2000 in una VPN ed ISA2004 in un altra VPN e quindi
solo con i router non so come si possa fare ma il sistema W2003
dovrebbe avere su Acesso Remoto le capacistà di mandarti la finestra
di logon PRIMA di proiettarti sulla rete.
Cioe' ti devi presentare al dominio gia' con uno user che ha l'accesso
remoto in quel dominio per poter poi entrare sulla rete come oggett
conosciuto all'AD.
Spero di non avere creato maggiore confusione
buona parte di quello che hai scritto è corretto
ma non è vero che devi essere autenticato sul dominio
prima di poter accedere alle risorse condivise del dominio stesso.
mi spiego: il single sign-on è quel processo in base al quale,
una volta autenticato al dominio, accedo a tutte le risorse
per le quali ho il permesso di accesso senza dovermi riautenticare
ma è perfettamente possibile accedere alle risorse di un dominio
anche quando non vi è una preventiva autenticazione
al dominio stesso, vedi ad esempio il caso di accessi a risorse
di dominio da parte di un xp home che non è joinato al dominio.
è sufficiente fornire le credenziali di un account di dominio
ed accedo alle risorse ugualmente.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Woland
2007-04-16 08:05:02 UTC
Permalink
<***@hotmail.it> ha scritto nel messaggio :
<CUT>
Post by m***@hotmail.it
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.
Se ne hai la possibilità, potresti fare questa prova da un PC collegato alla
LAN 192.168.0.xxx ,e vitando la VPN e tutto il resto :
ti connetti con un utente locale (non di dominio), poi da risorse di rete
sfogli la rete, poi sfogli il dominio, poi provi ad accedere ad una delle
cartelle condivise di un server e vedi se ti arriva la richiesta di
autenticarti o se ti arriva direttamente l'errore che ti dice che non hai le
abnilitazioni e posti il risultato.
Grazie
--
Woland
m***@hotmail.it
2007-04-16 10:06:14 UTC
Permalink
Post by Woland
<CUT>
Post by m***@hotmail.it
Ciao, vorrei evitare di lasciare everyone anche solo in lettura. Per
il resto le cartelle sono settate per potervi accedere con controllo
completo solo come utente 'administrator' oppure come utente
autenticato al dominio.
Se ne hai la possibilità, potresti fare questa prova da un PC collegato alla
ti connetti con un utente locale (non di dominio), poi da risorse di rete
sfogli la rete, poi sfogli il dominio, poi provi ad accedere ad una delle
cartelle condivise di un server e vedi se ti arriva la richiesta di
autenticarti o se ti arriva direttamente l'errore che ti dice che non hai le
abnilitazioni e posti il risultato.
Grazie
--
Woland
Così funziona correttamente (chiede UID e PW).
Woland
2007-04-16 10:41:58 UTC
Permalink
<CUT>
Post by m***@hotmail.it
Così funziona correttamente (chiede UID e PW).
Da questa risposta mi viene un idea che potrebbe anche essere una idiozia,
ma la espongo ugualmente perche' potrebbe essere di spunto ad Edoardo che e'
molto piu' bravo e preparato di me:
questo tipo di errore potrebbe essere generato dal fatto che il PC che si
presenta al server abbia un nome tipo xxx.dominio.it anche se non si e'
autenticato realmente al dominio (magari solo perche' il PC si chiama cosi
per quando lavora n LAN), l'AD riconosce la stringa ma non la GUID ( mi pare
sia questa) giusta e l'AD semplicemente gli nega l'accesso.
In questo dominio in cui non accedi il Server in questione e' L'AD del
dominio? Trovi messaggi sull'event viever sull'elenco protezione?
Se ho scritto un ipotesi idiota pazienza ma controlla l'event viever per
favore e controlla che nome ha il PC che si tenta di connettere al dominio e
se puoi riportali qui sopra
Ciao

Woland
m***@hotmail.it
2007-04-16 12:55:06 UTC
Permalink
Post by Woland
<CUT>
Post by m***@hotmail.it
Così funziona correttamente (chiede UID e PW).
Da questa risposta mi viene un idea che potrebbe anche essere una idiozia,
ma la espongo ugualmente perche' potrebbe essere di spunto ad Edoardo che e'
questo tipo di errore potrebbe essere generato dal fatto che il PC che si
presenta al server abbia un nome tipo xxx.dominio.it anche se non si e'
autenticato realmente al dominio (magari solo perche' il PC si chiama cosi
per quando lavora n LAN), l'AD riconosce la stringa ma non la GUID ( mi pare
sia questa) giusta e l'AD semplicemente gli nega l'accesso.
In questo dominio in cui non accedi il Server in questione e' L'AD del
dominio? Trovi messaggi sull'event viever sull'elenco protezione?
Se ho scritto un ipotesi idiota pazienza ma controlla l'event viever per
favore e controlla che nome ha il PC che si tenta di connettere al dominio e
se puoi riportali qui sopra
Ciao
Woland
Purtroppo questi controlli li ho già fatti tutti. Il server in
questione è il controller primario del dominio e nell'event viewer non
c'è nulla di anomalo. I primi test effettivamente li facevo da un PC
che faceva parte di un dominio e sinceramente mi era venuto lo stesso
sospetto, tanto che tutti i test successivi li ho poi fatti dal mio pc
di casa che non fa parte di nessun dominio.
Continua a leggere su narkive:
Loading...