xrated2

Ja genau das! "Benachrichtigung anzeigen" meint das andere Bild oder?

Du wirfst mir ja vor etwas "wild" zu konfigurieren aber dann wird etwas vorgeschlagen was noch viel wilder ist.

Die Sprache über "Einstellungen" hinzufügen da hatte ich kein Problem zumindest unter 1809. Oder man extrahiert sich über Fiddler die entsprechende Sprache als appx und kann das dann über install-appxpackage installieren. Bin noch nicht dahinter gekommen wie man mit WPP ein appx installiert, denn die werden ja als User und nicht als System installiert. Auch die Abfrage ob die App installiert ist, ist nicht ganz einfach.

Ich werde bestimmt nicht alle Inbound Regeln ändern wenn du das meinst

Wo genau?

Wenn in öffentlichen Netzen wie z.B. Flughafen nicht alles offen sein sollte. Scheint wohl eher zielführend zu sein die User aufzuklären was sie verwenden sollen.

Das halte ich für keine gute Idee

Hier noch ein besseres Script $vpnname = "bla" $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq $null) { write-output "VPN Connection $vpnname doesnt exist!" Exit } while ($true) { $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq "Disconnected") { $processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue if($processactive -eq $null) { $cmd = $env:WINDIR + "\System32\rasphone.exe" $expression = "$cmd -d $vpnname" Invoke-Expression -Command $expression } } start-sleep -seconds 5 } Man kann in der VPN Verbindung sogar nachträglich einen Autologin einschalten und der ist in der rasphone.pbk als Autologon Parameter aber bei der Erzeugung der Verbindung über Powershell kann man den leider nicht setzen.

Hallo es geht darum wenn ein PC in ein neues Netz gehängt wird hat der User die Wahl ob es Privat oder Öffentlich sein muss. Dummerweise klicken da einige auf Öffentlich und die seltsamsten Probleme tauchen auf. Ich habe eine GPO unter Computer\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerklisten-Manager-Richtlinien Nicht-identifizierte Netzwerke: Privat, Benutzer kann Ort nicht ändern Netzwerke werden identifiziert: Privat Trotzdem hatte ich bei einem neuen PC schon wieder das Problem. Mir ist aufgefallen das wenn man die GPO nicht explizit öffnet sondern unter Einstellungen schaut, stehen da RegKeys. Geht das allgemein nicht oder spinnt die Policy? 1903 habe ich schon hochgeladen nach SYSVOL. Auf der anderen Seite, wenn jemand ein öffentliches Netz nutzt sollte er vielleicht die Möglichkeit haben zum umstellen. Aber das Netz daheim mit VPN sollte eben Privat sein.

Dauert manchmal einfach ein wenig, hatte ich auch schon oft

Hallo ich habe eine GPO und weil es nur einen User gibt der diese nicht bekommen soll habe einen WMI Filter erstellt um nicht noch eine Gruppe erstellen zu müssen. Mir ist klar das die WMI Filter Performance kosten aber ich habe bis jetzt nur 2 Filter. Es handelt sich um eine GPO für den Benutzer wo Schreibzugriff auf USB verhindert wird. Im WMI Filter habe ich: SELECT * from Win32_ComputerSystem WHERE NOT UserName LIKE 'domain\\user' Kann das sein das die nicht geht weil die GPO mit "System" ausgeführt wird oder ist da ein Fehler drin? Auf meinem PC (ohne Domain) scheint die Abfrage mit Paessler WMI Tester zu funktionieren wenn ich den Computernamen statt Domain angebe.

Mit "als Pfad kopieren" bekommt man keinen anklickbaren Link

Es gibt zwar Laufwerkmappings aber etliche User wollen einen UNC Pfad pfad für Outlook den sie dann einen Kollegen schicken. Und mit Laufwerksbuchstaben macht Outlook keinen Link daraus. Nun könnte man aber das manuell im Explorer reinpasten aber das ist wohl schon zuviel Arbeit. Und auf der anderen Seite habe ich schon einige Anwendungen gesehen die nicht mit Laufwerkmappings zurechtkommen. Wenn man z.B. Bitlocker aktiviert kann man den Schlüssel nicht auf ein Netzwerklaufwerk speichern.

Prinzipiell läuft das ganze jetzt. Habe mich nur gefragt wie man denn die Netzwerkumgebung über VPN nutzen kann, weil ist ja anderes Subnet. WINS ?

Seh ich genauso, vor allem gesundheitlich. Und die wenigsten können die Leistungen nachvollziehen die man bringt, es fällt nur auf wenn irgendwas nicht funktioniert. Und der Markt ist imho total überlaufen, die Firmen haben oft irrwitzige Vorstellungen beim Personal. Im Bereich der Administration wird auch meist gespart, dazu noch Verlagerung zu externe Firmen oder Ausland. Ich habe schon 2x in großen Firmen erlebt wie fast die ganze IT Abteilung aufgelöst wurde.

Funktioniert die Replizierung von SYSVOL sauber? Rufst du die GUI vielleicht mit dem falschen Benutzer auf?

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen. Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird. Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe? Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist): @echo off ipconfig | find "192.168.3.1" >nul if %errorlevel%==0 goto inoffice rasdial | find "bla" >nul if %errorlevel%==0 goto connected rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla exit/b :connected echo Already connected exit/b :inoffice echo No VPN needed

Also bei mir ist der Besitzer die Domänen-Admins, gibt ja noch andere Admingruppen

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch: Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24" Und dazu noch die DNS und Suffix mitgeben: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" Das VPN allgemein: Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen: HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

Ach so ist das. In OpenVPN ist das mit den Netzen etwas anders. Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist. Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht? Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte. Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen:

Ich habe jetzt das gemacht: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.

Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.

Das heisst also temporär vor Erstellung bei LDAP die Option "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" deaktivieren und nach Erstellung Haken wieder reinsetzen.

Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle: http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen? In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.

Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint: https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/ Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen. Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen Das scheint auch nichts zu bringen: https://palvelimet.net/disable-revocation-check-sstp-vpn/ Importiert man das ganze über Powershell: Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an. Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID Hat das was mit fehlendem subjectAltName zu tun?