xrated2

Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen.

Benutzt denn niemand mehr WPP?

Das kann doch nicht so schwer sein:

<CustomUpdate>
<Action>
<ElementType>CustomUpdateElements.ScriptElement</ElementType>
<ScriptType>Powershell</ScriptType>
<Filename>test.ps1</Filename>
<Arguments>-Executionpolicy bypass</Arguments>
<KillProcess>False</KillProcess>
<TimeBeforeKilling>10</TimeBeforeKilling>
<Variable/>
</Action>
</CustomUpdate>

WPP funktioniert auch mit nachträglich verbundenem VPN, dass läuft ja ganz normal über WSUS.

Am 17.5.2020 um 09:56 schrieb Sunny61:

Was ist das Ziel? Was möchtest Du denn erreichen?

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

Hallo

da man ja über VPN (ohne AlwaysOn) keine Scripts am Client starten kann, dachte ich mir da gibts doch in WPP noch Custom Updates. Aber ich bekomme mal wieder nichts zum laufen.

Bei Arguments müsste dann: -Executionpolicy bypass stehen?

Hier sind auch kleine Hinweise zu finden:

http://package541.rssing.com/chan-8331320/all_p126.html

Habs auch als executable probiert:

File: %windir%\System32\WindowsPowershell\v1.0\powershell.exe

Parameters: -ExecutionPolicy Bypass -WindowStyle Hidden -NonInteractive -NoProfile -File test.ps1

Inhalt ps1:

start-process -filepath "notepad.exe"

Niemand da?

In Punkto Netzunterbrechungen beim VPN Client wird ja bei IkeV2 das sog. Mobility beworben, wo man in der Standardeinstellung bis zu 30min. Netzausfall überbrücken kann ohne das die Verbindung getrennt wird. Leider scheint das nicht bei NAT auf beiden Seiten zu funktionieren und ich komme da auf ca. 20 Sekunden bis die VPN Verbindung getrennt wird, sobald kein Internet mehr da ist.

Hallo

Aufgrund Corona laufen mittlerweile alle Clients über VPN.

Momentan habe ich für VPN Clients ein eigenes Subnet laufen, was aber nicht mehr unbedingt benötigt wird.

Es ist momentan das Problem das die Namensauflösung der Clients nicht funktioniert d.h. der DHCP Server liefert falsche IP Adressen vom Client (als wäre er im LAN Subnet) bei Abfrage.

So ist es momentan eingerichtet:

VPN Verbindung am Client per Powershell hinzugefügt:

Add-VpnConnection -Name $vpnname -ServerAddress $vpnserver -TunnelType "Sstp" -EncryptionLevel "Maximum" -AuthenticationMethod "Eap" -EapConfigXmlStream $EAPconfig -RememberCredential -AllUserConnection -SplitTunneling 

In RRAS habe ich unter Adressezuweisung einen statischen Adresspool mit dem VPN Range angelegt.

Weiter habe ich unter DHCP-Relay-Agent die IP Adressen von beiden DHCP Servern hinterlegt, damit die DHCP Optionen vom Client bezogen werden.

Im DHCP Server habe ich einen VPN Range mit den entsprechenden DHCP Optionen angelegt. Dort tauchen die Leases aber leider nicht auf, deswegen wohl auch die Probleme mit der Namensauflösung.

Bei RRAS gibt es keine Möglichkeit das zu verbessern, ausser die VPN Clients im LAN Subnet laufen zu lassen, richtig?

Wenn ich wieder alles auf ein Subnet umstelle, wie setze ich dann die Default Route auf den Clients:

Add-VpnConnectionRoute -ConnectionName "vpn" -DestinationPrefix "192.168.3.0/24"

Es gibt bei Win10 zwar die Möglichkeit  wenn die Verbindung als -AllUserConnection angelegt ist, sich gleichzeitig bei Windows + VPN anzumelden, aber funktionieren dann auch CSE wie Logon oder Startup Scripts? Offiziell geht das ja nur über AlwaysOn + Win10 Enterprise über einen Gerätetunnel aber es ist leider nur Pro vorhanden.

Hab grad mal SystemUpdate installiert, kann man ja über admx steuern.

Als User kann man die tvsu.exe zwar starten aber automatisch bei Benutzeranmeldung via GPO startet nicht, dafür kann man es manuell in der Systemsteuerung starten.

Repository einstellen über admx hat funktioniert aber das mit dem ausschalten der Lizenzhinweise nicht.

Hat das hier niemand in Benutzung?

Hallo

ich bin gerade dabei ThinInstaller zu verteilen, die Software habe ich über WPP verteilt. 

Weil bei der vorinstallierten Vantage App automatisch Treiber/FW installiert wird und ich nicht weiß wie ich das aus der Ferne deaktivieren kann, habe ich diese über ein Powershell deinstalliert.

Beim Defender musste ich IA.exe erlauben weil überwachter Ordnerzugriff aktiv ist.

Was aber nicht funktioniert ist das automatische starten vom Programm!

Also ohne Adminrechte funktioniert es ja generell nicht also habe ich es versucht via GPO als System zu starten unter Computer\Richtlinien\Administrative Vorlagen\System\Anmelden\Diese Programme bei der Benutzeranmeldung ausführen

Leider tut sich da nichts, man sieht nichts in den Logs.

Starte ich mit psexec ein cmd mit Systemrechten kann ich es einwandfrei starten.

Oder geht das nur über den Scheduler?

Der Befehl sieht so aus:

"c:\program files (x86)\ThinInstaller\ThinInstaller.exe" /CM -search R -action INSTALL -repository \\server\lenovoupdate -noicon -includerebootpackages 1,3,4 -noreboot

Das share funktioniert natürlich auch.

P.S. Ich dachte mir das Thininstaller besser wäre, weil schlanker als System Update und es gibt über Update Retriever ein zentrales Repository im LAN um kontrolliert Updates und FW zu verteilen oder ist ThinInstaller mit zu vielen Nachteilen verbunden?

Am 17.12.2019 um 15:24 schrieb IT96:

Danke für deine Einschätzung, wie hast du deinen Speicher eingebunden und welchen Hypervisor nutzt du?

Lokaler Speicher via RAID und Hyper-V in der kostenlosen Variante d.h. stark eingeschränkte GUI

Zwei gleiche Server halte ich nicht für sinnvoll bei der geringen Anforderung.

Ich hatte das so gemacht das ein Server etwas schneller ist mit Virtualisierung inkl. DC aber das war auch nur ein Quadcore (auf dem laufen mittlerweile 8 VMs) und der zweite DC ist der alte Server auf dem auch Veeam Backup läuft, da reicht auch Dualcore.

Dann sollte man auch die Lizenzkosten für Windows Server beachten.

Bei SSD gibt es unterschied Consumer und Server.

Festplattenplatz für Backup ist erheblich größer.

Der Geräte Tunnel läuft afaik nur mit Entprise oder Education und das macht ja letztendlich Always On oder Direct Access aus. Das läuft über Ikev2

Fremd VPN steht was von VPN Server wie Cisco. Beim Client hat man mit SSTP nicht viel Auswahl.

Wenn man ein Userzertifikat erstellt wo weißt man das denn dem User zu? Im RAS Manager steht bei mir nur das https Zertifikat vom VPN Server selbst.

Und es geht nur entweder Userzertifikat oder Authentifizierung via Passwort über MsChapv2 oder?

Ja da war doch irgendwas das bei AlwaysOn und DirectAccess zusätzlich das Computerkonto angemeldet wird, habe leider kein Windows Enterprise und deswegen die Sparversion nehmen müssen.

Das einzige was da der Client braucht ist das CA Zertifikat. Und da macht CRL nicht viel Sinn.

vor 14 Stunden schrieb NorbertFe:

Und wie sperrt er dann Zertifikate? ;)

Bei MS VPN gibts ja eh nur ein Zertifikat, da macht man einfach ein neues. Oder kann man bei AlwaysOn auch noch Computerkonten sperren?

Gegen Computerdiebstahl gibts Bitlocker.

Einfach Zertifikat ohne CRL erstellen

A particular CSE requires synchronous foreground processing. There are four CSEs provided by Microsoft that currently require synchronous foreground processing: Software Installation, Folder Redirection, Microsoft Disk Quota and GP Preferences Drive Mapping. If any of these are enabled within one or more GPOs, they will trigger the next foreground processing cycle to run synchronously when they are changed.

Mir kommt aber vor als ob da mehr nicht geht...

Wenigstens funktioniert bei Windows 10 noch Network Signin beim Anmeldebildschirm d.h. man loggt sich auch mit VPN ein

Stimmt das das man über cached credentials niemals die GPO aktualisiert bekommt? Die GPO werden doch alle x Std. asynchron ausgeführt.

Oder das man dann auf Homefolder nicht zugreifen kann oder das keine Scripts ausgeführt werden können.

wenn dhcpfind sowas ausspuckt kann wohl nur ein Fehler im Programm sein oder:

Packet from 97.100.46.109 
 Offered IP 192.168.3.118 
 

das habe ich nur zufällig kurz gesehen und später nie wieder

Die seltsamen Einträge durch reconcile:

repair-dhcpserverv4iprecord

sind auch nicht mit

netsh dhcp server scope <ip of scope> delete lease <specific ip to delete>

dauerhaft löschbar 

wenn ich das dhcpfind tool laufen lasse dann taucht die IP auch bei reconcile auf, das wäre ja noch zu erklären. Aber vor dem Tool gab es auch Einträge. Sehr verwirrend alles.

https://support.lenovo.com/us/en/solutions/ht503574

Ist das nur auf die wenigen veralteten Modelle beschränkt oder mittlerweile Standard bei Thinkpads? Nur T oder auch L bzw. E Serie?

Und jedes mal wenn ich den Range abstimme oder den Repair über Powershell laufen lasse dann wird eine neue IP gefunden und mit einer merkwürdigen MAC zugewiesen die so anfängt 3139322e3136382e332e313 und insgesamt 28 Zeichen hat. Wenn ich das von Hex nach Ascii umwandle ergibt das die IP Adresse.

Meiner Meinung nach sind diese USB C Docks schon genug Chaos.

Kann es sein das der Lastenausgleich im DHCP Server ein Problem ist? Ich glaube das soll ja über MAC Adressen auf die Server verteilt werden und wenn ein Client ständig eine andere MAC hat dann ist der womöglich auf beiden registriert und man hat die Probleme.

Was ebenso auffällt, manche Leases stehen nur bei einem DHCP Server drin. Und Leaseablaufdatum ist bei keinem Eintrag identisch zwischen den beiden Servern.

Bei einer IP hatte ich 2 unterschiedliche Namen auf jeweils einem Server.

Irgendwas stimmt mit dem Abgleich der beiden DHCP nicht, ich hab jetzt mal die alten bzw. falschen Einträge gelöscht und eine Replizierung gestartet, da kam kein Fehler. Beim "abstimmen" kamen anfangs unterschiedliche Adressen raus.

Werde das mal mit Repair-DhcpServerv4IPRecord überwachen

Ist ein kleines Class C. Theoretisch könnte man die Subnetmaske erweitern aber dann müsste ich auch noch alle Geräte mit statischer IP anpassen. Ändert aber dann auch nix daran das die PC mehrfach falsch drinstehen.

Das Problem ist eben das die Leute sowohl ständig den Arbeitsort wechseln als auch durch die USB LAN Adapter ständig eine andere MAC am PC haben und die Einträge im DHCP/DNS nicht stimmen.

Im DNS sehe ich jetzt z.b. auch einen PC der gleich 3x im DNS registriert ist. 1x mit VPN Subnet und 2x LAN Subnet.

Wenn ich die Lease auf 8 Tage lasse dann könnte es evtl. sogar passieren das der Range vollläuft.

Soll ich dynamische Updates im DNS komplett ausschalten?

Das andere Problem ist das die DNS Namen manchmal nicht mit dem PC Namen übereinstimmen d.h. ein PC steht plötzlich mit einem Namen von einem anderem PC im DNS.

Ich habe im DHCP schon Lease auf 12Std. begrenzt und bei DNS die Alterung auf 1/11 Std.

Kurios ist auch das im DNS Namen stehen die schon ewig nicht mehr benutzt worden sind.  Diese habe ich auch schon vor Wochen gelöscht.

So sehe ich z.b. in meinem Log für die VPN Verteilung was Scriptbasiert ist das sich am 28.11 der User x mit dem PC y (der schon monate nicht benutzt wurde) das VPN Script ausgeführt hat mit der IP .180.

Im DNS sehe ich heute den PC y aber mit der IP .176.

Warum werden einige DNS Einträge nicht automatisch gelöscht?

Es handelt sich um 2 DNS Server, diese haben aber identische Settings und Einträge.

Nur sichere Updates werden zugelassen.

Die VPN Clients haben ein anderes Subnet, dies wird vom RRAS vergeben. Dieser Range taucht auch im DNS auf.

Bei Crucial M4 und Intel D3-S4510/4610 gab es einen ähnlichen Bug

Hallo

https://www.windowspro.de/wolfgang-sommergut/dateien-ordner-kopieren-ueber-gruppenrichtlinien

In dem Artikel steht das man die Variablen mit der Taste F3 abrufen kann. Ich hatte appdata verwendet und nie gewusst warum die GPP nicht funktionierte, jetzt habe ich appdatadir eingetragen. Muss ich erst schauen ob es jetzt funktioniert.

In einer anderen GPP verwende ich userprofile welche nicht in der Liste steht, aber das funktioniert.

Bei beiden GPP ist die Option "Im Sicherheitskontext des aktuellen Benutzers ausführen" aktiviert

Wie ist das jetzt nun mit den Variablen?