Sektornet VPN Log på Windows-domæne med Windows XP Pro UNI C februar 2004
Sektornet VPN UNI C februar 2004 v2.5 Af Anders Raun og Jesper Skou Jensen
1 Log på Windwos-domæne med Windows XP Pro 1.1 Forudsætninger Nedenstående kræver, at man allerede har en PC med fungerende Internetforbindelse, og at man har installeret Sektornet VPN Bemærk!!! 1. Opsætningen af domæne-logon med Windows2000 over internettet kan være uhensigtsmæssig, hvis der benyttes roaming profiles på lokalnetværket. I det tilfælde vil din egen Windows 2000 maskine forsøge at logge på det aktuelle Windows-domæne og downloade hele din profil til din hjemme-pc. Derfor kan selve logon-processen føles meget langsom. 2. Hvis din computer indeholder både et netværkskort og kalder op til internettet ved hjælp af modem eller en terminaladapter kan Windows-logons være meget vanskelige at få til at fungere. UNI-C Sektornet Supportcenter yder ikke support på opsætning af pc er mod lokalnetværk. 1.2 Procedure for tilretningsprocessen Windows 2000: 1. Vær sikker på, at der er oprettet en konto til din computers navn på den lokale Windows-server. På Windows2000 er der mulighed for at give brugeren rettigheder til selv at melde maskiner ind i domænet. 2. Meld din computer ind i Windows-domænet når VPN-forbindelsen forbindelsen er aktiv. (Dette kræver et brugernavn med administratorrettigheder på Windows 2000 maskinen) 3. Sæt VPN-klienten op til Start Before Logon. 4. Genstart computeren, initiér internetforbindelsen, log på VPN og log derefter på domænet.
1.3 Konfiguration af Windows XP for Domænelogon Windows XP klienter skal være meldt ind i domænet, før man får lov til at logge på et givent Windows-domæne. Derfor skal maskinens netværksidentifikation ændres, så maskinen tager del i et domæne i stedet for en arbejdsgruppe Det indstilles i Startmenuen! Indstillinger! Kontrolpanel! System. Vælg fanebladet Computernavn og tryk på Skift som vist nedenfor.
Herved fremkommer dialogboksen Ændringer af computernavn. Man vælger feltet Domæne og skriver navnet på Windows-domænet ind i tekstboksen. Efter en lille pause spørger computeren om et brugernavn og et kodeord. Her angiver du gyldige brugeroplysninger med de nødvendige rettigheder og trykker OK. Lykkes indmeldingen i domænet så tænker maskinen igen lidt tid og melder til sidst, at den er blevet en del af det valgte Windows-domæne.
Når der klikkes ok, vil Egenskaber for system fremkomme igen og se ud som følger. Bemærk: Indmeldingen i domænet kan fejle, se mere om det i afsnit 1.5 Genstart nu maskinen og fortsæt efter genstart i næste afsnit.
1.4 Sæt VPN-klienten op til Start Before Logon Inden du kan logge på, skal klienten sættes op til Start Before Logon. Start VPN klienten VPN dialer. Vælg Options i menuen og derefter Windows Logoin Properties, hvorefter vil følgende skærmbillede fremkomme. Der sætter du et flueben i Enable start before logon og trykker OK. Nu er VPN klienten konfigureret og klar til brug, genstart nu maskinen hvorefter du fremover vil se, at VPN-klienten starter op, før man får lov til at skrive sit brugernavn og kodeord til maskinen. Trykker man nu på Connect vil pc en oprette en sikker forbindelse til Sektornettet, og man bør efterfølgende kunne logge på lokalnettet, hvis pc en er meldt korrekt ind i domænet.
Når VPN forbindelsen er etableret, så skal man trykker på Indstillinger i logonbilledet hvorefter der vil fremkommen en rullemenu som på nedenstående billede. Det er i denne, man vælger, hvilket domæne brugere af maskinen skal kontrolleres op i mod. Indtast derefter brugernavn og password og klik OK for at logge på netværket.
1.5 Kendte problemstillinger Afhængigt af hvordan den enkelte maskine og netværket er sat op, kan der vise sig at være problemer. Herunder er der et par af de fejl der er set flest af, samt en vejledning i hvordan fejlen afhjælpes. 1.5.1 Fejl ved indmelding i domænet Nogle gange kan det være meget vanskeligt at få Windows-kommunikationen til at flyde problemfrit. Nogle gange lykkes det først efter 3-4 forsøg. Nedenstående er en typisk fejlmeddelelse, hvis det ikke lykkes for hjemme-pc en at blive meldt ind i domænet. Mulige fejl kan være følgende: Serveren kan være nede lmhosts-filen kan være ukorrekt konfigureret WINS kan være forkert sat op Der kan mangle en konto til din PC på serveren Du har muligvis ikke rettigheder til at melde computeren ind i domænet Løsning: Ret fejlen og forsøg at logge på igen. 1.5.2 Loginscripts 1 Logonscripts der fungerer fint på skolens lokalnetværk vil ikke altid køre problemfrit når de udføres udefra Internettet. Nogle logonscripts er sat op til at mappe nogle fællesdrev på netbios-navnet, men uden lmhost filen eller WINS-server kan en pc fra Internettet ikke oversætte disse navne til IP-adresser og kan således ikke tilgå de mappede drev.
1.5.2.1 Løsning ved brug af lmhosts Forsøg evt. at lade logon-scriptet mappe drevene direkte på IP-adresserne eller få indtastet alle servere i lmhosts filen. Hvis lmhosts filen er korrekt sat op, kan man fra en MS-DOS-prompt se de servere man skal have mulighed for at kunne tilgå. Dette gøres ved at indtaste kommandoen nbtstat c. Herunder er et eksempel på dette. Her kan man se, at ASERVER navnet bliver oversat til IP adressen 87.65.43.21 og skulle derfor gerne kunne tilgås via ASERVER navnet. Bemærk!! Serverens navn og IP adresse er opdigtede og er derfor ikke de samme for din egen forbindelse. Desuden kan der være flere af denne type linjer, afhængigt af opsætning af netværket. 1.5.2.2 Løsning ved brug af WINS Forsøg evt. at lade logon-scriptet mappe drevene direkte på IP-adresserne eller få meldt WINS serveren til VPN opsætningen. Denne indmelding kan Sektornet VPN kontaktpersonen få arrangeret. For at teste om WINS er sat korrekt op, skal der først etableres en VPN forbindelse, dog er det ikke nødvendigt at logge på Windows-domænet i denne test. Når det er gjort, prøv da at åbne en kommandoprompt og skriv ping SERVERNAVN hvor SERVERNAVN er navnet på den server man forsøger at tilgå.
Her kan vi se, at aserver (husk at vælg det korrekte navn på serveren) bliver oversat til IP-adressen 87.65.43.21 og at serveren svarer. Med det kan vi konstatere at WINS fungere og er sat korrekt op for den server. Hvis man derimod ikke kunne pinge servernavnet, så tyder på det på at WINS ikke er sat korrekt op eller at den ikke er meldt til VPN opsætningen. Bemærk!! Serverens navn og IP adresse er opdigtede og er derfor ikke de samme for din egen forbindelse. 1.5.3 Loginscripts 2 Nogle logonscripts kontrollerer om der på den lokale pc er installeret et bestemte programmer eg. antivirusprogrammer. Hvis dette ikke er tilfældet vil logon-scriptet tvinge pc en til at forsøge at installere antivirusprogrammet. Dette er ikke altid hensigtsmæssigt da det skal downloades. Løsning: Fjern eller ændre denne del af logon-scriptet. Dette er kun administratoren på skolen, der kan reparere. 1.5.4 NAT, routing på lokalnettet Hvis der på skolens lokalnetværk forekommer intern routning eller NAT-ning, der ikke sker i Sektornetregi kan dette give problemer. Løsning: De involverede routere og/eller serverer sættes op til at kunne route VPNtrafikken. Denne skal således altid ledes tilbage til Sektornetrouteren samme vej som den kom ind og må ikke NAT es yderligere på vejen.