Jump to content

xrated2

Members
  • Content Count

    226
  • Joined

  • Last visited

Everything posted by xrated2

  1. Ich werde bestimmt nicht alle Inbound Regeln ändern wenn du das meinst
  2. Wenn in öffentlichen Netzen wie z.B. Flughafen nicht alles offen sein sollte. Scheint wohl eher zielführend zu sein die User aufzuklären was sie verwenden sollen.
  3. Hier noch ein besseres Script $vpnname = "bla" $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq $null) { write-output "VPN Connection $vpnname doesnt exist!" Exit } while ($true) { $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq "Disconnected") { $processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue if($processactive -eq $null) { $cmd = $env:WINDIR + "\System32\rasphone.exe" $expression = "$cmd -d $vpnname" Invoke-Expression -Command $expression } } start-sleep -seconds 5 } Man kann in der VPN Verbindung sogar nachträglich einen Autologin einschalten und der ist in der rasphone.pbk als Autologon Parameter aber bei der Erzeugung der Verbindung über Powershell kann man den leider nicht setzen.
  4. Hallo es geht darum wenn ein PC in ein neues Netz gehängt wird hat der User die Wahl ob es Privat oder Öffentlich sein muss. Dummerweise klicken da einige auf Öffentlich und die seltsamsten Probleme tauchen auf. Ich habe eine GPO unter Computer\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerklisten-Manager-Richtlinien Nicht-identifizierte Netzwerke: Privat, Benutzer kann Ort nicht ändern Netzwerke werden identifiziert: Privat Trotzdem hatte ich bei einem neuen PC schon wieder das Problem. Mir ist aufgefallen das wenn man die GPO nicht explizit öffnet sondern unter Einstellungen schaut, stehen da RegKeys. Geht das allgemein nicht oder spinnt die Policy? 1903 habe ich schon hochgeladen nach SYSVOL. Auf der anderen Seite, wenn jemand ein öffentliches Netz nutzt sollte er vielleicht die Möglichkeit haben zum umstellen. Aber das Netz daheim mit VPN sollte eben Privat sein.
  5. Dauert manchmal einfach ein wenig, hatte ich auch schon oft
  6. Hallo ich habe eine GPO und weil es nur einen User gibt der diese nicht bekommen soll habe einen WMI Filter erstellt um nicht noch eine Gruppe erstellen zu müssen. Mir ist klar das die WMI Filter Performance kosten aber ich habe bis jetzt nur 2 Filter. Es handelt sich um eine GPO für den Benutzer wo Schreibzugriff auf USB verhindert wird. Im WMI Filter habe ich: SELECT * from Win32_ComputerSystem WHERE NOT UserName LIKE 'domain\\user' Kann das sein das die nicht geht weil die GPO mit "System" ausgeführt wird oder ist da ein Fehler drin? Auf meinem PC (ohne Domain) scheint die Abfrage mit Paessler WMI Tester zu funktionieren wenn ich den Computernamen statt Domain angebe.
  7. Mit "als Pfad kopieren" bekommt man keinen anklickbaren Link
  8. Es gibt zwar Laufwerkmappings aber etliche User wollen einen UNC Pfad pfad für Outlook den sie dann einen Kollegen schicken. Und mit Laufwerksbuchstaben macht Outlook keinen Link daraus. Nun könnte man aber das manuell im Explorer reinpasten aber das ist wohl schon zuviel Arbeit. Und auf der anderen Seite habe ich schon einige Anwendungen gesehen die nicht mit Laufwerkmappings zurechtkommen. Wenn man z.B. Bitlocker aktiviert kann man den Schlüssel nicht auf ein Netzwerklaufwerk speichern.
  9. Prinzipiell läuft das ganze jetzt. Habe mich nur gefragt wie man denn die Netzwerkumgebung über VPN nutzen kann, weil ist ja anderes Subnet. WINS ?
  10. Seh ich genauso, vor allem gesundheitlich. Und die wenigsten können die Leistungen nachvollziehen die man bringt, es fällt nur auf wenn irgendwas nicht funktioniert. Und der Markt ist imho total überlaufen, die Firmen haben oft irrwitzige Vorstellungen beim Personal. Im Bereich der Administration wird auch meist gespart, dazu noch Verlagerung zu externe Firmen oder Ausland. Ich habe schon 2x in großen Firmen erlebt wie fast die ganze IT Abteilung aufgelöst wurde.
  11. Funktioniert die Replizierung von SYSVOL sauber? Rufst du die GUI vielleicht mit dem falschen Benutzer auf?
  12. Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen. Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird. Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe? Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist): @echo off ipconfig | find "192.168.3.1" >nul if %errorlevel%==0 goto inoffice rasdial | find "bla" >nul if %errorlevel%==0 goto connected rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla exit/b :connected echo Already connected exit/b :inoffice echo No VPN needed
  13. Also bei mir ist der Besitzer die Domänen-Admins, gibt ja noch andere Admingruppen
  14. Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch: Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24" Und dazu noch die DNS und Suffix mitgeben: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" Das VPN allgemein: Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen: HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?
  15. Ach so ist das. In OpenVPN ist das mit den Netzen etwas anders. Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist. Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht? Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte. Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen:
  16. Ich habe jetzt das gemacht: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.
  17. Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.
  18. Das heisst also temporär vor Erstellung bei LDAP die Option "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" deaktivieren und nach Erstellung Haken wieder reinsetzen.
  19. Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle: http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen? In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.
  20. Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint: https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/ Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen. Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen Das scheint auch nichts zu bringen: https://palvelimet.net/disable-revocation-check-sstp-vpn/ Importiert man das ganze über Powershell: Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an. Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID Hat das was mit fehlendem subjectAltName zu tun?
  21. Hallo Bei Direct Access oder Always on mit Device Tunnel braucht man ja leider 10 Enterprise. Obwohl MS bei Always On noch groß angekündigt hat es ginge mit jedem Windows aber was nützt das Feature ohne Device Tunnel, wenn man zudem auch kein MDM oder Intune hat. Was MS bei Enterprise eingebaut hat scheint ja nicht wirklich umfassend zu sein: https://community.spiceworks.com/topic/2199357-device-tunnel-on-win10-pro Trotzdem würde ich sowas ungern verwenden wollen. Gibt es irgendeine andere Möglichkeit sowas umzusetzen? Via rasdial scheidet auch aus weil man da das Passwort in der Befehlszeile mitgeben müsste. Ich möchte sicherstellen das der User wenigstens bei Systemstart dazu aufgefordert wird sich ins VPN einzuloggen. Würde das vielleicht mit Add-VpnConnectionTriggerDnsConfiguration klappen?
  22. Oder man nimmt: https://www.microsoft.com/de-de/evalcenter/evaluate-hyper-v-server-2019
  23. Hallo Man weiß ja nicht genau wie lange es den noch geben wird aber momentan stören mich die schlechte Verwaltungsmöglichkeiten vom MS Store. Den kann man zwar per GPO Softwarebeschränkung komplett sperren aber es gibt im Store tatsächlich auch Apps die produktiv genutzt werden und benötigt werden z.b. SonicWall Mobile Connect. Offiziell soll man ja einen privaten Store mit den Apps erstellen die in der Firma zugewiesen werden um das kontrollieren zu können. Bei Win 10 Pro müsste sich dazu aber jeder MA erstmal mit seinem MS account einloggen. Und parallel dazu kann er den öffentlichen Store weiterbenutzen? 10 Enterprise gibts leider nicht womit man das über GPO regeln kann. Ich habe rausgefunden wie man eine App als appx file downloaden kann und wie man diese über Powershell installiert. Dummerweise scheint dazu aber der jeweilige Useraccount zur Installation notwendig zu sein, ich glaube WPP installiert alles mit dem Systemuser (deswegen auch kein Zugriff auf HKEY User in WPP). Ich meine da entzieht man den Usern Adminrechte damit die nichts installieren können und dann kommt MS mit dem Store daher und mittlerweile sollen da sogar schon non UWP d.h. normale Programme zu finden sein. Hat denn hier jemand schon mal mit der ganzen Geschichte befasst?
×
×
  • Create New...