Jump to content

xrated2

Newbie
  • Content Count

    257
  • Joined

  • Last visited

Posts posted by xrated2


  1. Es geht darum die Zeit zu minimieren, ich möchte nicht jede Woche dran sitzen. Und da mittlerweile fast sämtliche Clients über VPN verteilt sind, macht das lokale Repository im WSUS keinen Sinn mehr.

    Dann werde ich mal nach dem Script suchen.

    Bei der autom. Freigabe kann man sowohl nach Produkt als auch nach Klassifikation filtern.


  2. vor 49 Minuten schrieb MurdocX:

    Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen.
     

    Um das zu automatisieren gibt’s auch Skripte. 

    Runterladen tut WSUS gar nichts, nur genehmigen.

     

    Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht.

     

    Bis jetzt kenne ich nur Cleanup über Powershell:

    Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteUpdates -Verbose
    Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupUnneededContentFiles -Verbose
    Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineExpiredUpdates -Verbose
    Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineSupersededUpdates -Verbose
    Invoke-WsusServerCleanup -UpdateServer $WSUS -CompressUpdates -Verbose


  3. wenn man das so einstellt d.h wie hier:

    https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen

    Also beides aktivieren:

    - Zugriff auf alle Windows Update-Funktionen deaktivieren

    - Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

     

    holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt?

     

    Es gibt noch diese GPO:

    Keine Verbindungen mit Windows Update-Internetadressen herstellen

    Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.


  4. vor 2 Stunden schrieb testperson:
    • Wenn ich das richtig verstehe, brauchst du die IPv4 nur, um zu prüfen, ob du intern oder extern bist oder ist das VPN Netz 192.168.3.x/24?
      • 
        $IPv4 = Get-NetIPAddress | where { $_.AddressFamily -eq "IPv4" -and $_.IPAddress -match "192.168.3."}
        # ...
        if(($vpn.ConnectionStatus -eq "Disconnected") -And (-not $ipv4))

         

    • Ich würde, wie gesagt, das Script nur dann starten, wenn ich es brauche. Hier solltest du mit den Events klar kommen bzw. mit "Bei Anmeldung"
    • In meinem Bereich setzen wir ausschließlich auf Citrix-Terminalserver und veröffentlichen diese über das Netscaler Gateway. Daher habe ich da keine produktiv genutzten Lösungen. Der Netscaler könnte das allerdings. Ansosnten empfiehlt Richard Hicks, der ganz fit in dem Bereich ist "Netmotion": https://directaccess.richardhicks.com/netmotion/

    Ich habe das Gefühl, dass du dich ein wenig auf deine potentielle "Lösung" versteift hast, die für dich in Richtung "Always On VPN Alternative" geht. In einem Anderen Thread hast du das Problem, dass Scripts / verschiedene CSEs so nicht funktionieren. Die Frage wäre daher, was ist die Anforderung dahinter? Müssen die Scripts überhaupt laufen oder sollte man z.B. bei den Scripts ansetzen und ggfs. ablösen?

     

    Genau, ob intern oder extern. Für VPN habe ich ein anderes Subnet, wo ich aber überlege das umzustellen, wegen Probleme mit Namensauflösung siehe:

     

    Ich habe die Schleife im Script eben reingemacht, damit ständig überwacht wird ob der Client im VPN ist und falls nicht erfolgt automatisch der Connect. Und da kenne ich kein Event was dieses erkennt ausser eben ständig den Connectstatus vom VPN abzufragen.

     

    Bei Scripts bin ich zum Glück bis jetzt nur mit dem bereits erwähnten für VPN ausgekommen und sonst brauche ich keine CSE welche synchrone Anmeldung erfordern.

    Also eigentlich gehts im Moment nur um kleine Optimierungen und keine Show Stopper.


  5. @testperson

    Get-NetIPAddress zeigt ja mehrere Interfaces, wie bekommt man da das richtige wenn Ethernet oder Wireless verwendet wird? Ich habe auch schon Rechner gesehen bei denen beides gleichzeitig aktiv war.

     

    Warum keine Endlosschleife? Weil man die nur durch Neustart wegbekommt, wenn später was geändert wird?

    Wenn man mehrere Tasks macht, müsste ich aber auch mehrere Dateien kopieren und ich wollte die Verarbeitungszeit der GPO nicht unnötig hoch treiben, vor allem weil es schon soviele sind.

    Und wenn man das Script alle 60s mit Scheduler ausführt (um die Endlosschleife zu vermeiden), flackert ständig was beim User hoch. Ausser man trickst da wieder bei der Ausführung von powershell.exe rum.

     

    Korrekt, kein Enterprise und daher scheidet auch Always On mit Gerätetunnel aus. An was dachtest du als 3rd Party Client der möglichst zuverlässig die Verbindung hält und mit dem man auch problemlos VOIP hinbekommt? Dazu kommt noch das der Server hinter einem NAT steckt und auch kein IKEv2 Mobility funktioniert damit die Verbindung bei Netzwerkproblemen gehalten wird, deswegen auch das Script.

     


  6. Na nicht ganz, da ich nach Std. bezahlt werde und von extern bin. Aber da ich mir vieles erst aneignen musste kann ich auch nicht alles berechnen.

     

    Ich hab an den Tasks einfach so lange rumgeschraubt bis es ging. Zumindest hoffe ich das es jetzt auf allen PCs geht.

    Interessant ist auch, wenn man powershell.exe aufruft das windowstyle nicht funktioniert, wohl aber wenn man den vollen Pfad zur exe angibt.

     

    Oder das bei Datei kopieren, aktualisieren nicht heisst, dass der Inhalt der Datei überprüft wird und falls notwendig kopiert wird, sondern nur die File Attribute.

    Bei einen Task musste ich nämlich die Datei auf lokal kopieren, denn das Script stellt die VPN Verbindung her, falls nötig.

     

    Das hier (funktioniert nur bei VPN die über -Alluserconnection eingerichtet sind):

     

    #vpn automatic connect
    $vpnname = "name"
    $lan = "192.168.3."
    
    $vpn = Get-VpnConnection -Alluserconnection | where {$_.Name -eq $vpnname}
    if ($vpn.ConnectionStatus -eq $null)
            {
                write-output "VPN Connection $vpnname doesnt exist!"
                Exit
            }
    
    #$ipV4 = (Test-Connection -ComputerName (hostname) -Count 1  | Select -ExpandProperty IPV4Address).IPAddressToString
    # above is not reliable because it will output the first interface which may be also ppp adapter
    $ipv4 = (Get-WmiObject -Class Win32_NetworkAdapterConfiguration | where {$_.DefaultIPGateway -ne $null}).IPAddress | select-object -first 1
    
    
    while ($true)
            {   
                $vpn = Get-VpnConnection -Alluserconnection | where {$_.Name -eq $vpnname}
                write-output $vpn.connectionstatus
                if ($vpn.ConnectionStatus -eq "Disconnected" -And $ipv4 -Notlike "*$lan*")
                    {
                        #$processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue
                        #if($processactive -eq $null)
                        #    {
                        #        $cmd = $env:WINDIR + "\System32\rasphone.exe"
                        #        $expression = "$cmd -d $vpnname"
                        #        Invoke-Expression -Command $expression 
                        #    }
    
                        #below probably only works with alluserconnection profiles
                        $cmd = $env:WINDIR + "\System32\rasdial.exe"
                        $expression = "$cmd $vpnname"
                        Invoke-Expression -Command $expression
                    }
                
                start-sleep -seconds 60
                
            }

     


  7. Dafür fallen dann aber einmalige Kosten wie z.B. Hardware nicht so ins Gewicht.

    Ich bin froh das wenigstens noch nicht alles in der Cloud ist.

     

    Schlussendlich funktioniert es ja jetzt und das ist am wichtigsten. Aber wie lange ich dafür gebraucht habe, sage ich jetzt besser nicht.


  8. Der Fehler war darauf bezogen wenn man im Task ein Share angibt, was ich nun durch ein cmd gelöst habe. Kann nunmal nicht in jeder Antwort alles noch mal von vorn erklären oder jedes mal einen neuen Thread starten.

    Ursprünglich hatte ich ja ganz was anderes vor (mit WPP),

     

    Kostet nix, kann man so nicht sagen aber kleine Firmen können sich nun mal keine Infrastruktur leisten wie große Firmen >100-1000MA. 

    Im PC Bereich gibts alles gratis aber sobald das Wort Server oder zentrale Verwaltung im Spiel ist, explodieren die Kosten.

    Vielleicht werdet ihr mit dem großen C. auch noch merken das man nicht immer freie Wahl hat.


  9. Da wirds jetzt aber OT. Es ist einfach generell so das kein synchrones Login erfolgt mit Network Sign-In und MS VPN, obwohl es technisch möglich wäre.

    Im obigen Link mit Cisco VPN scheint es dagegen evtl. zu gehen.

     

    Edit: Einen Vorteil habe ich jetzt doch entdeckt im Zusammenhang mit dem Standard MS VPN, es ist möglich neue Logins zu verwenden und nicht nur cached logons.


  10. Hallo

     

    vielleicht kennt ihr im Anmeldebildschirm die Funktion Network Sign-In, man kann sich gleichzeitig (bei MS VPN) mit User am PC und VPN anmelden.

     

    Aber wo liegt denn da eigentlich der Nutzen? 

     

    Einige CSE wie Skripts werden wie gehabt nicht ausgeführt. Obwohl es technisch einfach zu realisieren wäre.

    Man kann dieses Feature auch nicht forcieren damit sich ein User beim VPN anmelden muss.

    Wurde das Feature seit XP abgespeckt, seit es DirectAccess und Always On VPN gibt?

     

    Oder funktioniert es nur bei 3rd party VPN clients das man sich als erstes im VPN einloggt?

    https://oregonstate.teamdynamix.com/TDClient/1935/Portal/KB/ArticleDet?ID=52073


  11. Die Computerobjekte haben Leserechte auf das Skript. Fürs Logging habe ich ein anderes Share mit Schreibrechte erstellt.

    Was aber merkwürdig ist das der Trigger 1min. nach Anmeldung nicht funktioniert. Auch bei Wiederholung alle 5min.

     

    Wenn ich die Aufgabenplanung mit meinem User starte, sehe ich dann überhaupt ob das als "System" gestartet wurde in der Vergangenheit?

     

    Status: 0xFFFD0000 was auf ungültige Argumente hinweist, ich habe:

     

    -ExecutionPolicy bypass -File \\server\share\file.ps1 -NoLogo -Noninteractive -WindowStyle Hidden 

     

    Glaube das -File nicht funktioniert

     

    Führe ich die Befehlszeile manuell in cmd aus, funktioniert alles.


  12. Wäre das dann folgendes:

    Geplante Aufgabe (mindestens Windows 7) unter Computerkonfiguration?

     

    Programm: c:\windows\system32\windowspowershell\v1.0\powershell.exe

    Argument: -ExecutionPolicy bypass -File \\server\vpn\vpn.ps1 -NoLogo -Noninteractive -WindowStyle Hidden

     

    Bis jetzt taucht nichts auf nach gpupdate /force auch nicht wenn ich so vorgehe:

    https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gruppenrichtlinien-anlegen-loeschen

     

    Aufgabe Name  vpnconfig   
     Autor  domain\myuser   
     Beschreibung     
     Nur ausführen, wenn der Benutzer angemeldet ist  S4U   
     Benutzer-ID  NT-AUTORITÄT\System   
     Mit höchsten Berechtigungen ausführen  LeastPrivilege   
     Ausgeblendet  Nein   
     Konfigurieren für  1.3   
     Aktiviert  Ja   
    Trigger 1. Bei Anmeldung des Benutzers starten     
     Aufgabe verzögern für  30 Minuten   
     Aktiviert  Ja   
         
    Aktionen 1. Programm starten     
     Programm/Skript  notepad.exe 
     


  13. Ich habe das Profil als -Alluserconnection erstellt weil dann Network Sign-In funktioniert. Ich dachte früher das dann auch Scripts über GPO bzw. alle CSE funktionieren würden aber das tut es nicht.

    Man kann in Windows 10 nicht mal Network Sign-In als Default einstellen.

×
×
  • Create New...