Primer Inicio de Sesión por VPN

Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio

Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio

La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión

Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN

Aunque no lo muestro en esta nota, por supuesto que debemos disponer del servidor VPN ya configurado, y la cuenta de usuario debe tener permiso de acceso por la misma

Para quien tenga dudas sobre el tema dejo enlaces a dos notas ya publicadas sobre el tema:

Para esta nota usaré tres máquinas:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • CL1.ad.guillermod.com.ar: Cliente del Dominio (Windows 8.1)
  • CL2.ad.guillermod.com.ar: Cliente del Dominio (Windows 10 RTM)

La configuración la haré a través de Preferencias en una GPO aplicada a las cuentas de máquina, ya que la misma debe estar disponible antes que un usuario inicie sesión

Simplemente he creado una Unidad Organizativa llamada “Notebooks” donde he colocado las cuentas de ambas máquinas

Luego crearé y enlazaré una GPO a dicha Unidad Organizativa

El nombre que mejor les parezca

Y vamos a “Computer Configuration / Preferences / Control Panel Settings / Network Options” y creamos una nueva “VPN Connection”

Ahora cada uno deberá proveer los datos necesarios y ajustar a su necesidad algunas configuraciones, muestro las que he seleccionado

Quedará así

Luego que la GPO es aplicada en los clientes podemos verificar que se ha creado un nuevo icono en la pantalla de inicio de sesión

Muestro primero en Windows 10

Y en forma similar en Windows 8.1

 

De esta forma podemos lograr no sólo que un usuario “nuevo” pueda inciar sesión aunque la máquina no esté en la red del Dominio, además puede ayudarnos para el caso de soporte a un usuario remoto

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Javier  On 20/09/2016 at 09:44

    Excelente aporte. Como siempre le felicito por todos los conocimientos impartidos de tal manera tan altruista.

  • Lisbeck sys  On 21/09/2016 at 05:38

    He de decir que soy un asiduo de tu blog, de lo mejorcito en español con diferencia, mi pregunta es, es posible realizar esto mismo pero si la conexión de VPN corporativa es a través de el cliente Juniper?. He buscado y no encuentro la manera de realizar el proceso.

    • Guillermo Delprato  On 21/09/2016 at 06:42

      Hola Luis, llegó duplicada tu pregunta, dejo una sola
      Habría que consultar al soporte de Juniper para estar seguro, pero no creo que sea posible. Varios motivos, primero habría que ver cómo lanzarlo desde una GPO que no sería con esta configuración, y segundo y creo que lo más difícil es que al ser de terceros permitirlo en el inicio de la máquina, como no sea servicio creo que va a ser imposible
      ¡Gracias por tu comentario! Me alegra te sirva el blog

      • Lisbeck sys  On 21/09/2016 at 14:07

        Muchísimas gracias! por la respuesta, eres un crack.

  • Javier Sola  On 21/09/2016 at 10:53

    El cliente ROVA de VPN (que usaba de base el sistema de Juniper), tenia esta opcion de agregar un icono a la pantalla de Login. Openvpn no tiene esta opción (o no he visto un cliente que lo implemente), Pero puede setearse por registro la autoconexion al iniciar el servicio (No creo que funcione si se necesitan credenciales para conectarse). Abrazo.

    • Guillermo Delprato  On 21/09/2016 at 14:01

      Hola Javier ¡gracias por el aporte! lo publicaré a ver si le ayuda a Luis
      De todas formas, lo que hay que iniciar es la interfaz para que pueda iniciar sesión, recién luego se hace la conexión cuando ingresa las credenciales
      ¡Gracias!

      • Lisbeck sys  On 21/09/2016 at 14:09

        Ese es el problema, que hay que insertar credenciales, muchas gracias, si logro resolverlo os lo haré saber. Muchas gracias compañeros.

  • Sergio A. Bustos  On 14/10/2016 at 18:21

    Hola Guillermo, ya he implementado con éxito en la empresa donde trabajo el Servidor VPN, sigo cada uno de tus post, los leo, los replico en ambientes virtualizados para comprenderlos mejor, pero disculpa mi ignorancia, no logro entender el beneficio que dices en tu último párrafo “…además puede ayudarnos para el caso de soporte a un usuario remoto”
    Mil gracias por ocuparte de estos temas. un abrazo

    • Guillermo Delprato  On 14/10/2016 at 18:39

      Hola Sergio, me alegro te sirvan las notas, gracias por tu comentario
      Estoy pensando en un ejemplo, si un usuario remoto no puede iniciar sesión, por ejemplo por corrupción de su perfil, o tiene problemas con una aplicación específica, y queremos ver qué sucede con un usuario diferente o nuevo, podemos crear un usuario provisorio e indicarle para que inicie sesión con este

  • Jesus  On 20/06/2017 at 12:05

    Hola Guillermo, tienes pensado crear algún articulo de como unir dos controladores de dominio que están en diferentes sitios fuera de la red. Por ejemplo dos oficinas de la misma empresa pero en ciudades diferentes.

    • Guillermo Delprato  On 20/06/2017 at 13:59

      Hola Jesus, no por ahora, en realidad en el blog están todas las notas como para hacerlo: conectar sitios por VPN, creación de Sitios, Subnets y Site-links, y promoción de segundo Controlador de Dominio

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: