Zwei Rechner und das Kennwort-Problem

Die regelmäßige Kennwortänderung ist in Unternehmensnetzwerken nahezu Pflicht – naturgemäß komplex und nicht in anderen Diensten benutzt. Wer allerdings „im Schrank“ ein Notebook „für die Geschäftsreise“ hat, der sollte vorsichtig sein. Nicht selten findet man sich unterwegs dann offline.

Das „Reisenotebook“

Viele Firmen halten für Mitarbeiter, die intern auf ganz „normalen“ PCs arbeiten, für Reisetätigkeiten einen eigenen Notebook-Bestand. Die Geräte sind dabei keinem spezifischen Anwender zugeordnet, sondern dienen nur dem Datenzugriff von unterwegs auf das firmeninterne Intranet – per VPN. Keine schlechte Idee für Anwender, die nur selten unterwegs sind und aus diesem Grund keine teure Konfiguration aus Notebook, Dockingstation und Monitor im Büro nutzen.

Aktualität und Sicherheit

Das grundlegende Problem an diesem „System“ ist ein gravierendes: Notebooks, die eine gute Weile offline in der IT-Ausgabestelle verweilten, sind ein Sicherheitsrisiko. Der letzte Sicherheitspatch ist Wochen her, die AntiVirus-Software ebenso alt. Auch die kritischen Updates, die für alle Rechner im Netzwerk über das Patchmanagement bereitgestellt werden, sind überfällig. Keine gute Situation, um so auf Reisen zu gehen.

Das Kennwort und das VPN

Hinzu kommt aber noch ein weiteres – aus Anwendersicht viel gravierendes – Problem: Das Kennwort. Wurde dies – wie von der IT-Richtlinie des Unternehmens gefordert – sorgfältig auf dem stationären Rechner im Unternehmen geändert, so „weiß“ das vereinsamte Notebook davon nichts. Der ansonsten mit dem aktuellen Kennwort gefütterte Cache hat noch die alte Version. Befindet sich der Rechner im internen Netzwerk der Firma, ist das kein Problem. Er fragt den Domain-Controller und dieser teilt ihm das gültige Kennwort des Anwenders sofort mit. Ganz anders stellt sich die Situation beim Remote-Zugang mit VPN.

Ausgesperrt

Der Verbindungsaufbau über den VPN-Client folgt erst nach einer (Windows-) Anmeldung am Notebook. Anders ausgedrückt: Zum Zeitpunkt der Anmeldung am Notebook mit den gewohnten Zugangsdaten hat das Betriebssystem noch keine Verbindung zum Firmen-Server (Active Directory) – und damit zu den aktuell gültigen Anmeldeinformationen.

Das Kennwort und keine AD-Verbindung

Das Notebook kennt nur – wenn überhaupt – die im Cache gespeicherten Daten der letzten Anmeldung auf diesem Gerät. Das aktuelle Kennwort kann es zu diesem Zeitpunkt nicht abfragen, da ja keine Verbindung zum AD-Server besteht. Das Logon über das alte, bereits geänderte Kennwort, funktioniert. Der Zugang mit dem zuvor in der Firma neu gesetzten nicht.

Die Sperre des Accounts

Noch einen Tick schlimmer wird die Situation sobald die VPN-Verbindung hergestellt ist. So klappt zwar der Aufbau des verschlüsselten Zugangs noch, dann passiert aber der User-GAU. Das Notebook versucht sich mit „seinen“ Zugangsdaten im Netzwerk anzumelden (das Kennwort, welches beim Start von Windows eingegeben wurde). Dieses stimmt aber nicht mit den aktuellen Zugangsdaten auf dem Server (Active Directory) überein. Das Notebook versucht es einige Male – und das Anwenderkonto wird wegen wiederholten falschen Zugangsdaten gesperrt. Knock-Out.

Ein Workaround

Das Problem: Jetzt kann Ihnen auch die IT-Abteilung nicht helfen. Das Konto ist schnell entsperrt, das Problem auf dem Notebook bleibt. Einen Versuch ist es wert:

  • Beenden Sie die VPN-Verbindung auf dem Notebook
  • Ändern Sie das Kennwort auf dem Notebook auf jenes, das Sie zuletzt in der Firma auf dem PC vergeben haben.
  • Mit etwas Glück funktioniert der Zugriff dann auch über den Tunnel

Synchronisation des Kennworts

Besser vorbereitet

Sparen Sie Ihr Nervenkostüm und erweitern Sie die Vorbereitungsphase auf die Geschäftsreise um einige Punkte.

  • Starten Sie das Notebook am Tag vor der Reise im Netzwerk des Unternehmens – am besten über das LAN-Kabel (manche Updates werden nur beim Systemstart eingespielt, WLAN ist da manchmal zu spät dran)
    Das Kennwort sollte damit synchron sein. Die Updates nur bedingt.
  • Geben Sie dem Notebook einige Zeit im internen Netz. Der Kontakt zum Update-Server und die Downloads können etwas dauern.
  • Updates werden meist beim Herunterfahren installiert. Berücksichtigen Sie dies in Ihrem Zeitrahmen. Das kann etwas dauern.
  • Updates werden auch beim nächsten Hochfahren des Rechners installiert. Dies kann nervig sein, wenn Sie „mal schnell“ etwas benötigen.
  • Starten Sie den Rechner nicht nur neu („Neustart“), sondern fahren Sie diesen herunter und starten Sie ihn – im Firmen-LAN – neu.
  • Beachten Sie, dass manche Updates aufeinander aufbauen. War der Rechner lange Zeit offline, können mehrere Update-Vorgänge notwendig sein.
  • Machen Sie es sich einfach: Informieren Sie Ihre IT rechtzeitig vor der Abreise. Die EDV-Administration sollte Ihnen die notwendigen Schritte abnehmen.
  • Berücksichtigen Sie die Profil-Synchronisation.

Logon und User-Profil

Bei der Anmeldung auf einem Rechner einer Windows-Domäne erfolgen viele Prozesse im Hintergrund. Abgesehen vom Zwischenspeicher der Anmeldeinformationen gilt es hier vor allem das Anwenderprofil zu erwähnen. Über diesen Mechanismus werden Einstellungen und Daten mit dem Server – und damit dem PC im Büro – synchronisiert. Kurz gefasst: Melden Sie sich einmal auf dem Notebook im Firmennetzwerk an, bevor Sie es mit dem mobilen Gerät verlassen. Dies garantiert nicht nur einen aktuellen Zwischenspeicher für die Reise, sondern schafft auch viele andere „Störfaktoren“ eines Remote-Zugriffs aus dem Weg.


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*