Jump to content

xrated2

Members
  • Gesamte Inhalte

    368
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von xrated2

  1. Der Fehler war darauf bezogen wenn man im Task ein Share angibt, was ich nun durch ein cmd gelöst habe. Kann nunmal nicht in jeder Antwort alles noch mal von vorn erklären oder jedes mal einen neuen Thread starten.

    Ursprünglich hatte ich ja ganz was anderes vor (mit WPP),

     

    Kostet nix, kann man so nicht sagen aber kleine Firmen können sich nun mal keine Infrastruktur leisten wie große Firmen >100-1000MA. 

    Im PC Bereich gibts alles gratis aber sobald das Wort Server oder zentrale Verwaltung im Spiel ist, explodieren die Kosten.

    Vielleicht werdet ihr mit dem großen C. auch noch merken das man nicht immer freie Wahl hat.

  2. Da wirds jetzt aber OT. Es ist einfach generell so das kein synchrones Login erfolgt mit Network Sign-In und MS VPN, obwohl es technisch möglich wäre.

    Im obigen Link mit Cisco VPN scheint es dagegen evtl. zu gehen.

     

    Edit: Einen Vorteil habe ich jetzt doch entdeckt im Zusammenhang mit dem Standard MS VPN, es ist möglich neue Logins zu verwenden und nicht nur cached logons.

  3. Hallo

     

    vielleicht kennt ihr im Anmeldebildschirm die Funktion Network Sign-In, man kann sich gleichzeitig (bei MS VPN) mit User am PC und VPN anmelden.

     

    Aber wo liegt denn da eigentlich der Nutzen? 

     

    Einige CSE wie Skripts werden wie gehabt nicht ausgeführt. Obwohl es technisch einfach zu realisieren wäre.

    Man kann dieses Feature auch nicht forcieren damit sich ein User beim VPN anmelden muss.

    Wurde das Feature seit XP abgespeckt, seit es DirectAccess und Always On VPN gibt?

     

    Oder funktioniert es nur bei 3rd party VPN clients das man sich als erstes im VPN einloggt?

    https://oregonstate.teamdynamix.com/TDClient/1935/Portal/KB/ArticleDet?ID=52073

  4. Die Computerobjekte haben Leserechte auf das Skript. Fürs Logging habe ich ein anderes Share mit Schreibrechte erstellt.

    Was aber merkwürdig ist das der Trigger 1min. nach Anmeldung nicht funktioniert. Auch bei Wiederholung alle 5min.

     

    Wenn ich die Aufgabenplanung mit meinem User starte, sehe ich dann überhaupt ob das als "System" gestartet wurde in der Vergangenheit?

     

    Status: 0xFFFD0000 was auf ungültige Argumente hinweist, ich habe:

     

    -ExecutionPolicy bypass -File \\server\share\file.ps1 -NoLogo -Noninteractive -WindowStyle Hidden 

     

    Glaube das -File nicht funktioniert

     

    Führe ich die Befehlszeile manuell in cmd aus, funktioniert alles.

  5. Wäre das dann folgendes:

    Geplante Aufgabe (mindestens Windows 7) unter Computerkonfiguration?

     

    Programm: c:\windows\system32\windowspowershell\v1.0\powershell.exe

    Argument: -ExecutionPolicy bypass -File \\server\vpn\vpn.ps1 -NoLogo -Noninteractive -WindowStyle Hidden

     

    Bis jetzt taucht nichts auf nach gpupdate /force auch nicht wenn ich so vorgehe:

    https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gruppenrichtlinien-anlegen-loeschen

     

    Aufgabe Name  vpnconfig   
     Autor  domain\myuser   
     Beschreibung     
     Nur ausführen, wenn der Benutzer angemeldet ist  S4U   
     Benutzer-ID  NT-AUTORITÄT\System   
     Mit höchsten Berechtigungen ausführen  LeastPrivilege   
     Ausgeblendet  Nein   
     Konfigurieren für  1.3   
     Aktiviert  Ja   
    Trigger 1. Bei Anmeldung des Benutzers starten     
     Aufgabe verzögern für  30 Minuten   
     Aktiviert  Ja   
         
    Aktionen 1. Programm starten     
     Programm/Skript  notepad.exe 
     

  6. Ich habe das Profil als -Alluserconnection erstellt weil dann Network Sign-In funktioniert. Ich dachte früher das dann auch Scripts über GPO bzw. alle CSE funktionieren würden aber das tut es nicht.

    Man kann in Windows 10 nicht mal Network Sign-In als Default einstellen.

  7. Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen.

    Benutzt denn niemand mehr WPP?

     

    Das kann doch nicht so schwer sein:

    <CustomUpdate>
    <Action>
    <ElementType>CustomUpdateElements.ScriptElement</ElementType>
    <ScriptType>Powershell</ScriptType>
    <Filename>test.ps1</Filename>
    <Arguments>-Executionpolicy bypass</Arguments>
    <KillProcess>False</KillProcess>
    <TimeBeforeKilling>10</TimeBeforeKilling>
    <Variable/>
    </Action>
    </CustomUpdate>

  8. Hallo

     

    da man ja über VPN (ohne AlwaysOn) keine Scripts am Client starten kann, dachte ich mir da gibts doch in WPP noch Custom Updates. Aber ich bekomme mal wieder nichts zum laufen.

     

    Bei Arguments müsste dann: -Executionpolicy bypass stehen?

     

    Hier sind auch kleine Hinweise zu finden:

    http://package541.rssing.com/chan-8331320/all_p126.html

     

    Habs auch als executable probiert:

    File: %windir%\System32\WindowsPowershell\v1.0\powershell.exe

    Parameters: -ExecutionPolicy Bypass -WindowStyle Hidden -NonInteractive -NoProfile -File test.ps1

     

    Inhalt ps1:

    start-process -filepath "notepad.exe"

  9. Niemand da?

     

    In Punkto Netzunterbrechungen beim VPN Client wird ja bei IkeV2 das sog. Mobility beworben, wo man in der Standardeinstellung bis zu 30min. Netzausfall überbrücken kann ohne das die Verbindung getrennt wird. Leider scheint das nicht bei NAT auf beiden Seiten zu funktionieren und ich komme da auf ca. 20 Sekunden bis die VPN Verbindung getrennt wird, sobald kein Internet mehr da ist.

     

     

  10. Hallo

     

    Aufgrund Corona laufen mittlerweile alle Clients über VPN.

    Momentan habe ich für VPN Clients ein eigenes Subnet laufen, was aber nicht mehr unbedingt benötigt wird.

    Es ist momentan das Problem das die Namensauflösung der Clients nicht funktioniert d.h. der DHCP Server liefert falsche IP Adressen vom Client (als wäre er im LAN Subnet) bei Abfrage.

     

    So ist es momentan eingerichtet:

    VPN Verbindung am Client per Powershell hinzugefügt:

    Add-VpnConnection -Name $vpnname -ServerAddress $vpnserver -TunnelType "Sstp" -EncryptionLevel "Maximum" -AuthenticationMethod "Eap" -EapConfigXmlStream $EAPconfig -RememberCredential -AllUserConnection -SplitTunneling 

     

    In RRAS habe ich unter Adressezuweisung einen statischen Adresspool mit dem VPN Range angelegt.

    Weiter habe ich unter DHCP-Relay-Agent die IP Adressen von beiden DHCP Servern hinterlegt, damit die DHCP Optionen vom Client bezogen werden.

    Im DHCP Server habe ich einen VPN Range mit den entsprechenden DHCP Optionen angelegt. Dort tauchen die Leases aber leider nicht auf, deswegen wohl auch die Probleme mit der Namensauflösung.

     

    Bei RRAS gibt es keine Möglichkeit das zu verbessern, ausser die VPN Clients im LAN Subnet laufen zu lassen, richtig?

     

    Wenn ich wieder alles auf ein Subnet umstelle, wie setze ich dann die Default Route auf den Clients:

    Add-VpnConnectionRoute -ConnectionName "vpn" -DestinationPrefix "192.168.3.0/24"

     

    Es gibt bei Win10 zwar die Möglichkeit  wenn die Verbindung als -AllUserConnection angelegt ist, sich gleichzeitig bei Windows + VPN anzumelden, aber funktionieren dann auch CSE wie Logon oder Startup Scripts? Offiziell geht das ja nur über AlwaysOn + Win10 Enterprise über einen Gerätetunnel aber es ist leider nur Pro vorhanden.

  11. Hab grad mal SystemUpdate installiert, kann man ja über admx steuern.

    Als User kann man die tvsu.exe zwar starten aber automatisch bei Benutzeranmeldung via GPO startet nicht, dafür kann man es manuell in der Systemsteuerung starten.

    Repository einstellen über admx hat funktioniert aber das mit dem ausschalten der Lizenzhinweise nicht.

  12. Hallo

    ich bin gerade dabei ThinInstaller zu verteilen, die Software habe ich über WPP verteilt. 

    Weil bei der vorinstallierten Vantage App automatisch Treiber/FW installiert wird und ich nicht weiß wie ich das aus der Ferne deaktivieren kann, habe ich diese über ein Powershell deinstalliert.

    Beim Defender musste ich IA.exe erlauben weil überwachter Ordnerzugriff aktiv ist.

     

    Was aber nicht funktioniert ist das automatische starten vom Programm!

    Also ohne Adminrechte funktioniert es ja generell nicht also habe ich es versucht via GPO als System zu starten unter Computer\Richtlinien\Administrative Vorlagen\System\Anmelden\Diese Programme bei der Benutzeranmeldung ausführen

    Leider tut sich da nichts, man sieht nichts in den Logs.

    Starte ich mit psexec ein cmd mit Systemrechten kann ich es einwandfrei starten.

    Oder geht das nur über den Scheduler?

     

    Der Befehl sieht so aus:

    "c:\program files (x86)\ThinInstaller\ThinInstaller.exe" /CM -search R -action INSTALL -repository \\server\lenovoupdate -noicon -includerebootpackages 1,3,4 -noreboot

     

    Das share funktioniert natürlich auch.

     

    P.S. Ich dachte mir das Thininstaller besser wäre, weil schlanker als System Update und es gibt über Update Retriever ein zentrales Repository im LAN um kontrolliert Updates und FW zu verteilen oder ist ThinInstaller mit zu vielen Nachteilen verbunden?

     

  13. Zwei gleiche Server halte ich nicht für sinnvoll bei der geringen Anforderung.

    Ich hatte das so gemacht das ein Server etwas schneller ist mit Virtualisierung inkl. DC aber das war auch nur ein Quadcore (auf dem laufen mittlerweile 8 VMs) und der zweite DC ist der alte Server auf dem auch Veeam Backup läuft, da reicht auch Dualcore.

    Dann sollte man auch die Lizenzkosten für Windows Server beachten.

    Bei SSD gibt es unterschied Consumer und Server.

    Festplattenplatz für Backup ist erheblich größer.

  14. Der Geräte Tunnel läuft afaik nur mit Entprise oder Education und das macht ja letztendlich Always On oder Direct Access aus. Das läuft über Ikev2

    Fremd VPN steht was von VPN Server wie Cisco. Beim Client hat man mit SSTP nicht viel Auswahl.

     

    Wenn man ein Userzertifikat erstellt wo weißt man das denn dem User zu? Im RAS Manager steht bei mir nur das https Zertifikat vom VPN Server selbst.

    Und es geht nur entweder Userzertifikat oder Authentifizierung via Passwort über MsChapv2 oder?

×
×
  • Neu erstellen...