xrated2

Runterladen tut WSUS gar nichts, nur genehmigen. Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht. Bis jetzt kenne ich nur Cleanup über Powershell: Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupUnneededContentFiles -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineExpiredUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineSupersededUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -CompressUpdates -Verbose

Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden d.h. der Client sieht beim WSUS was er darf und holt sich die Dateien dann von MS. Heisst DisableDualScan das er nur nicht bei MS suchen darf oder auch nicht downloaden? Zu der anderen Einstellung: https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/

wenn man das so einstellt d.h wie hier: https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen Also beides aktivieren: - Zugriff auf alle Windows Update-Funktionen deaktivieren - Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt? Es gibt noch diese GPO: Keine Verbindungen mit Windows Update-Internetadressen herstellen Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.

Überlesen oder noch nicht so weit gedacht. Ich habe jetzt folgende Trigger in einem Task Nachteil allerdings wie schon bemerkt, das es jedes mal beim User flackert was ich jetzt mal mit VBS (geht wohl nicht anders) umgangen habe.

@testuser Man kann ja tatsächlich im Scheduler ein Event vom Ereignisprotokoll definieren z.B. wenn Rasclient einen Disconnect macht, dass ist ja noch viel besser Danke für den Hinweis.

Habe nun herausgefunden warum die Namensauflösung nicht ging, man musste nur beim PPP Eintrag die DNS Registrierung aktivieren.

Genau, ob intern oder extern. Für VPN habe ich ein anderes Subnet, wo ich aber überlege das umzustellen, wegen Probleme mit Namensauflösung siehe: Ich habe die Schleife im Script eben reingemacht, damit ständig überwacht wird ob der Client im VPN ist und falls nicht erfolgt automatisch der Connect. Und da kenne ich kein Event was dieses erkennt ausser eben ständig den Connectstatus vom VPN abzufragen. Bei Scripts bin ich zum Glück bis jetzt nur mit dem bereits erwähnten für VPN ausgekommen und sonst brauche ich keine CSE welche synchrone Anmeldung erfordern. Also eigentlich gehts im Moment nur um kleine Optimierungen und keine Show Stopper.

@testperson Get-NetIPAddress zeigt ja mehrere Interfaces, wie bekommt man da das richtige wenn Ethernet oder Wireless verwendet wird? Ich habe auch schon Rechner gesehen bei denen beides gleichzeitig aktiv war. Warum keine Endlosschleife? Weil man die nur durch Neustart wegbekommt, wenn später was geändert wird? Wenn man mehrere Tasks macht, müsste ich aber auch mehrere Dateien kopieren und ich wollte die Verarbeitungszeit der GPO nicht unnötig hoch treiben, vor allem weil es schon soviele sind. Und wenn man das Script alle 60s mit Scheduler ausführt (um die Endlosschleife zu vermeiden), flackert ständig was beim User hoch. Ausser man trickst da wieder bei der Ausführung von powershell.exe rum. Korrekt, kein Enterprise und daher scheidet auch Always On mit Gerätetunnel aus. An was dachtest du als 3rd Party Client der möglichst zuverlässig die Verbindung hält und mit dem man auch problemlos VOIP hinbekommt? Dazu kommt noch das der Server hinter einem NAT steckt und auch kein IKEv2 Mobility funktioniert damit die Verbindung bei Netzwerkproblemen gehalten wird, deswegen auch das Script.

Na nicht ganz, da ich nach Std. bezahlt werde und von extern bin. Aber da ich mir vieles erst aneignen musste kann ich auch nicht alles berechnen. Ich hab an den Tasks einfach so lange rumgeschraubt bis es ging. Zumindest hoffe ich das es jetzt auf allen PCs geht. Interessant ist auch, wenn man powershell.exe aufruft das windowstyle nicht funktioniert, wohl aber wenn man den vollen Pfad zur exe angibt. Oder das bei Datei kopieren, aktualisieren nicht heisst, dass der Inhalt der Datei überprüft wird und falls notwendig kopiert wird, sondern nur die File Attribute. Bei einen Task musste ich nämlich die Datei auf lokal kopieren, denn das Script stellt die VPN Verbindung her, falls nötig. Das hier (funktioniert nur bei VPN die über -Alluserconnection eingerichtet sind): #vpn automatic connect $vpnname = "name" $lan = "192.168.3." $vpn = Get-VpnConnection -Alluserconnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq $null) { write-output "VPN Connection $vpnname doesnt exist!" Exit } #$ipV4 = (Test-Connection -ComputerName (hostname) -Count 1 | Select -ExpandProperty IPV4Address).IPAddressToString # above is not reliable because it will output the first interface which may be also ppp adapter $ipv4 = (Get-WmiObject -Class Win32_NetworkAdapterConfiguration | where {$_.DefaultIPGateway -ne $null}).IPAddress | select-object -first 1 while ($true) { $vpn = Get-VpnConnection -Alluserconnection | where {$_.Name -eq $vpnname} write-output $vpn.connectionstatus if ($vpn.ConnectionStatus -eq "Disconnected" -And $ipv4 -Notlike "*$lan*") { #$processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue #if($processactive -eq $null) # { # $cmd = $env:WINDIR + "\System32\rasphone.exe" # $expression = "$cmd -d $vpnname" # Invoke-Expression -Command $expression # } #below probably only works with alluserconnection profiles $cmd = $env:WINDIR + "\System32\rasdial.exe" $expression = "$cmd $vpnname" Invoke-Expression -Command $expression } start-sleep -seconds 60 }

Dafür fallen dann aber einmalige Kosten wie z.B. Hardware nicht so ins Gewicht. Ich bin froh das wenigstens noch nicht alles in der Cloud ist. Schlussendlich funktioniert es ja jetzt und das ist am wichtigsten. Aber wie lange ich dafür gebraucht habe, sage ich jetzt besser nicht.

Mit dem MS VPN z.b. SSTP (ohne Always On Gerätetunnel) eben leider nicht.

Der Fehler war darauf bezogen wenn man im Task ein Share angibt, was ich nun durch ein cmd gelöst habe. Kann nunmal nicht in jeder Antwort alles noch mal von vorn erklären oder jedes mal einen neuen Thread starten. Ursprünglich hatte ich ja ganz was anderes vor (mit WPP), Kostet nix, kann man so nicht sagen aber kleine Firmen können sich nun mal keine Infrastruktur leisten wie große Firmen >100-1000MA. Im PC Bereich gibts alles gratis aber sobald das Wort Server oder zentrale Verwaltung im Spiel ist, explodieren die Kosten. Vielleicht werdet ihr mit dem großen C. auch noch merken das man nicht immer freie Wahl hat.

Wenn ein Office 365 als Pro Plus schon zu teuer ist und Home verwendet wird, kannst du dir vorstellen wie das läuft. Der Admin muss die Lösung bringen aber es darf nichts kosten.

Leider ist das mit den Tasks doch unzuverlässig oder manche Parameter gehen gar nicht (z.b. beim Trigger eine Gruppe angeben, dann wird der Task nicht erstellt) Aber es gibt keine Alternative mit dem aktuellen VPN.

Da wirds jetzt aber OT. Es ist einfach generell so das kein synchrones Login erfolgt mit Network Sign-In und MS VPN, obwohl es technisch möglich wäre. Im obigen Link mit Cisco VPN scheint es dagegen evtl. zu gehen. Edit: Einen Vorteil habe ich jetzt doch entdeckt im Zusammenhang mit dem Standard MS VPN, es ist möglich neue Logins zu verwenden und nicht nur cached logons.

Hallo vielleicht kennt ihr im Anmeldebildschirm die Funktion Network Sign-In, man kann sich gleichzeitig (bei MS VPN) mit User am PC und VPN anmelden. Aber wo liegt denn da eigentlich der Nutzen? Einige CSE wie Skripts werden wie gehabt nicht ausgeführt. Obwohl es technisch einfach zu realisieren wäre. Man kann dieses Feature auch nicht forcieren damit sich ein User beim VPN anmelden muss. Wurde das Feature seit XP abgespeckt, seit es DirectAccess und Always On VPN gibt? Oder funktioniert es nur bei 3rd party VPN clients das man sich als erstes im VPN einloggt? https://oregonstate.teamdynamix.com/TDClient/1935/Portal/KB/ArticleDet?ID=52073

Ich probiers jetzt mal mit cmd file. Das seltsame war das es auf dem Testlaptop ging welches über vpn verbunden ist, aber im LAN auf einem neuen Laptop ging gar nichts wegen obigen Fehler.

Die Computerobjekte haben Leserechte auf das Skript. Fürs Logging habe ich ein anderes Share mit Schreibrechte erstellt. Was aber merkwürdig ist das der Trigger 1min. nach Anmeldung nicht funktioniert. Auch bei Wiederholung alle 5min. Wenn ich die Aufgabenplanung mit meinem User starte, sehe ich dann überhaupt ob das als "System" gestartet wurde in der Vergangenheit? Status: 0xFFFD0000 was auf ungültige Argumente hinweist, ich habe: -ExecutionPolicy bypass -File \\server\share\file.ps1 -NoLogo -Noninteractive -WindowStyle Hidden Glaube das -File nicht funktioniert Führe ich die Befehlszeile manuell in cmd aus, funktioniert alles.

Bis jetzt funktioniert alles, habe dem Computerobjekt entsprechend Berechtigungen erteilt damit das als System User funktioniert.

oh danke das wusste ich nicht das ein User gar nicht alle Tasks sieht

Wäre das dann folgendes: Geplante Aufgabe (mindestens Windows 7) unter Computerkonfiguration? Programm: c:\windows\system32\windowspowershell\v1.0\powershell.exe Argument: -ExecutionPolicy bypass -File \\server\vpn\vpn.ps1 -NoLogo -Noninteractive -WindowStyle Hidden Bis jetzt taucht nichts auf nach gpupdate /force auch nicht wenn ich so vorgehe: https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gruppenrichtlinien-anlegen-loeschen Aufgabe Name vpnconfig Autor domain\myuser Beschreibung Nur ausführen, wenn der Benutzer angemeldet ist S4U Benutzer-ID NT-AUTORITÄT\System Mit höchsten Berechtigungen ausführen LeastPrivilege Ausgeblendet Nein Konfigurieren für 1.3 Aktiviert Ja Trigger 1. Bei Anmeldung des Benutzers starten Aufgabe verzögern für 30 Minuten Aktiviert Ja Aktionen 1. Programm starten Programm/Skript notepad.exe

Ich habe das Profil als -Alluserconnection erstellt weil dann Network Sign-In funktioniert. Ich dachte früher das dann auch Scripts über GPO bzw. alle CSE funktionieren würden aber das tut es nicht. Man kann in Windows 10 nicht mal Network Sign-In als Default einstellen.

Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen. Benutzt denn niemand mehr WPP? Das kann doch nicht so schwer sein: <CustomUpdate> <Action> <ElementType>CustomUpdateElements.ScriptElement</ElementType> <ScriptType>Powershell</ScriptType> <Filename>test.ps1</Filename> <Arguments>-Executionpolicy bypass</Arguments> <KillProcess>False</KillProcess> <TimeBeforeKilling>10</TimeBeforeKilling> <Variable/> </Action> </CustomUpdate>

WPP funktioniert auch mit nachträglich verbundenem VPN, dass läuft ja ganz normal über WSUS.

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.