xrated2

https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/

Die Community oder AS Variante von OpenVPN? Ich hatte das auch schon mal hier geschrieben: https://forums.openvpn.net/viewtopic.php?t=28293 Es funktionierten nicht nur verschiedene OU nicht sondern auch keine gesicherte LDAP Verbindung. Wegen dem MS VPN und EAP-PEAP-MsChapV2 vs. EAP-MsChapV2 scheint ersteres sicherer zu sein. Das ist bei MS so schlecht ersichtlich das ich vorher meinte das EAP-PEAP ohne MsChapV2 wäre. Und mit "Smartcard oder anderes Zertifikat" ist EAP-TLS gemeint, dass läuft mit Clientzertifikat aber ohne User/Pass. Wenn man als Client nur das Zertifikat hat, finde ich nicht grade sicher. Aber bei den anderen Typen mit User/Pass habe ich es nicht geschafft eine Verbindung herzustellen ohne das CA Zertifikat am Client zu haben. Bei add-vpnconnection kann man noch eine xml config für PEAP mitgeben, siehe: https://pcloadletter.co.uk/2013/12/31/powershell-for-eap-peap-secured-vpn-on-windows-8-1/ Schade das man bei NAP relativ wenig abfragen kann bei der Netzwerkrichtlinie z.B. Hersteller vom VPN Client wäre schön.

Mir ist eigentlich nur bekannt das man für VPN kein PPTP / MsChap (nthash) mehr verwenden sollte. SSTP soll ziemlich sicher sein und wird auch selten geblockt wie z.b. bei L2TP. Bei WIFI soll auch PEAP/EAP mit MsCHAPv2 kritisch sein wenn man es abhören kann. Vor allem würde mich auch interessieren, bei EAP/PEAP soll es nur auf das Serverzertifikat ankommen und der Client braucht kein eigenes. Heisst das jetzt das die Verbindung nur klappt wenn der Client das Serverzertifikat vor der Verbindung schon hat oder ist das nur wie beim aufrufen einer Webseite das der Client weiß das das Zertifikat gültig ist? Also beim MS VPN Client kann man zwar keine Verbindung aufbauen wenn der Client das Zertifikat nicht hat aber vielleicht gibt es auch andere VPN Clients mit SSTP z.b. Softether die die Verbindung ohne Zertifikat zulassen? Momentan läuft OpenVPN, das hat in Sachen Usability auch einige Nachteile. Aber wäre das sicherer mit Userzertifikaten und Abfrage von User/Pass aus Linux passwd? Ich habe auch mal versucht OpenVPN mit LDAP zu AD verbinden aber hatte es nicht geschafft User aus mehreren OUs abzufragen, nur aus einer einzelnen.

Hallo ich mache mal der Übersichthalber einen neuen Thread auf. Bei MS VPN hat man die Wahl für mehrere Methoden unter Sicherheit. Die normalen wie PAP, CHAP, MS-CHAP v2 (ohne EAP) lasse ich jetzt mal weg. Laut NAP sind die alle weniger Sicher. Bei EAP zwischen Geschütztes EAP (PEAP) und Gesichertes Kennwort (EAP-MSCHAP v2). Sollte das erste nicht ohne Passwort und nur mit Zertifikat sein? Da kommt trotzdem eine Abfrage User/Pass, ist das so Beabsichtigt? Was von beiden ist jetzt besser? Bei der Einrichtung der VPN Verbindung über add-vpnconnection und AuthenticationMethod EAP stellt der nämlich default EAP-MSCHAP v2 ein. Bei EAP (PEAP) ist mir aufgefallen das an einem PC der nicht im AD gejoined ist die Meldung kommt das die Identität des Servers nicht überprüft werden kann (mit Fingerprint) obwohl ich das Zertifikat der CA und das Zertifikat der Domäne unter Vertrauenswürdige Stammzertifizierungsstellen bei den Computerzertifikaten abgespeichert habe. Wie das bei PCs im AD ist, bzw. ob da auch die Meldung kommt, habe ich noch nicht probiert. Im NAP habe ich eingestellt bei : Anforderungsrichtlinie - Authentifizierungsmethode: EAP - EAP-Methode: EAP-PEAP sowie EAP-MSCHAP v2 Netzwerkrichtlinie - Authentifizierungstyp: EAP - Zulässige EAP-Typen: 1. MS Geschütztes EAP (PEAP) mit Subkategorie Gesichertes Kennwort (EAP-MSCHAP v2) 2. Gesichertes Kennwort (EAP-MSCHAP v2)

Ich habe noch etwas festgestellt bzgl dem Fall wenn die VPN Clients ein eigenes Subnet bekommen sollen was es nur auf dem VPN Server gibt. Hier im Beispiel LAN Netzwerk 192.168.3.0 und VPN Netzwerk 192.168.201.0. Wenn man im Routing&RAS den Relay Agent konfiguriert und auf einen anderen DHCP Server verweist, dann werden von dort die DHCP Optionen bezogen. Auch wenn man für VPN ein anderes Subnet als das LAN Netzwerk benutzt. Man muss im externen DHCP Server natürlich auch den entsprechenden VPN Range anlegen. Ich habe Static unter Routing&RAS in der Adresszuweisung konfiguriert und dort ein eigenes Subnet für VPN. Unter DHCP Relay Agent steht als Interface dort nur Intern, externe Anfragen auf dem LAN Interface gibt es dabei nicht. Wenn man unter Adresszuweisung von Static auf DHCP umstellt, ist ein anderes Subnet für VPN wohl leider gar nicht möglich, wenn Routing&RAS nicht dieses Subnet auf einem Interface hat und weil man auch nicht einstellen kann auf welchem Interface VPN laufen soll. Damit hat sich dann auch die Verwendung von Add-VpnConnectionTriggerDnsConfiguration und Add-VpnConnectionRoute erübrigt da man dies in den DHCP Optionen festlegen kann. Die Route zum LAN Netzwerk 192.168.3.0 ist noch etwas besonders, da man nicht weiß welche IP der Client im VPN Netz zugewiesen bekommt, welche als Gateway dient. Es gibt zwar die Option "IP verwenden, die Clients zugewiesen ist", allerdings ist die Maske nur für den Host d.h. 255.255.255.255 und damit funktioniert die Route nicht. Wenn man da einfach irgendeine IP aus einem anderen Netz eingibt z.B. 1.1.1.1 dann trägt hier der Client die richtige IP, also seine eigene ein. Ob das letztendlich Windows 10 oder der Server macht, habe ich nicht überprüft. Also z.b. aus der eingetragenen Route: 192.168.3.0 255.255.255.0 1.1.1.1 wird dann unter Windows 10 folgendes eingetragen: 192.168.3.0 255.255.255.0 192.168.201.101

Na die Einstellung bezieht sich ja nur auf identifizierte Netzwerke, sobald es auf Privat steht könnte der User das doch wieder ändern sofern nicht die Systemsteuerung gesperrt ist. Und mir ist auch aufgefallen das diese Meldung sogar nach einem Reboot von Windows Server kam, dass kann doch nicht so geplant sein von MS? Da stand nämlich der Netzwerkadapter von 2019 Essentials auf Public ohne Abfrage. Bei 2019 Std. kam eine Meldung das ein neues Netzwerk da wäre. Hatte alle Server eine zeitlang heruntergefahren gehabt.

bis vor kurzem ging bei mir noch Send detect now und Report now, jetzt kommt nur noch "error" beim Client habe ich in der Firewall das freigeschalten: https://docs.microsoft.com/de-de/windows/win32/wua_sdk/using-wua-from-a-remote-computer?redirectedfrom=MSDN geht das seit 1903 auch nicht mehr?

Hatte das Thema auch, es werden sämtliche Accounts mitgezielt inkl. Administrator etc. Was nicht gezählt wird sind deaktivierte User. Es gibt keine Möglichkeit User bei den Lizenzen rauszunehmen so wie bei den Vorgängerversionen. https://social.technet.microsoft.com/Forums/en-US/f844451a-5bd2-4cbe-a031-86fe514ffabc/server-2019-essentials-user-licensing-limitation?forum=ws16essentials Was sich MS in letzter Zeit alles rausnimmt ist bodenlos.

Nachträglich umstellen kanns der User aber auch unabhängig von der Einstellung oder?

Genau da hatte ich es ja eingestellt aber der User hats trotzdem umgestellt.

Ja genau das! "Benachrichtigung anzeigen" meint das andere Bild oder?

Du wirfst mir ja vor etwas "wild" zu konfigurieren aber dann wird etwas vorgeschlagen was noch viel wilder ist.

Die Sprache über "Einstellungen" hinzufügen da hatte ich kein Problem zumindest unter 1809. Oder man extrahiert sich über Fiddler die entsprechende Sprache als appx und kann das dann über install-appxpackage installieren. Bin noch nicht dahinter gekommen wie man mit WPP ein appx installiert, denn die werden ja als User und nicht als System installiert. Auch die Abfrage ob die App installiert ist, ist nicht ganz einfach.

Ich werde bestimmt nicht alle Inbound Regeln ändern wenn du das meinst

Wo genau?

Wenn in öffentlichen Netzen wie z.B. Flughafen nicht alles offen sein sollte. Scheint wohl eher zielführend zu sein die User aufzuklären was sie verwenden sollen.

Das halte ich für keine gute Idee

Hier noch ein besseres Script $vpnname = "bla" $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq $null) { write-output "VPN Connection $vpnname doesnt exist!" Exit } while ($true) { $vpn = Get-VpnConnection | where {$_.Name -eq $vpnname} if ($vpn.ConnectionStatus -eq "Disconnected") { $processactive = Get-Process "rasphone" -ErrorAction SilentlyContinue if($processactive -eq $null) { $cmd = $env:WINDIR + "\System32\rasphone.exe" $expression = "$cmd -d $vpnname" Invoke-Expression -Command $expression } } start-sleep -seconds 5 } Man kann in der VPN Verbindung sogar nachträglich einen Autologin einschalten und der ist in der rasphone.pbk als Autologon Parameter aber bei der Erzeugung der Verbindung über Powershell kann man den leider nicht setzen.

Hallo es geht darum wenn ein PC in ein neues Netz gehängt wird hat der User die Wahl ob es Privat oder Öffentlich sein muss. Dummerweise klicken da einige auf Öffentlich und die seltsamsten Probleme tauchen auf. Ich habe eine GPO unter Computer\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerklisten-Manager-Richtlinien Nicht-identifizierte Netzwerke: Privat, Benutzer kann Ort nicht ändern Netzwerke werden identifiziert: Privat Trotzdem hatte ich bei einem neuen PC schon wieder das Problem. Mir ist aufgefallen das wenn man die GPO nicht explizit öffnet sondern unter Einstellungen schaut, stehen da RegKeys. Geht das allgemein nicht oder spinnt die Policy? 1903 habe ich schon hochgeladen nach SYSVOL. Auf der anderen Seite, wenn jemand ein öffentliches Netz nutzt sollte er vielleicht die Möglichkeit haben zum umstellen. Aber das Netz daheim mit VPN sollte eben Privat sein.

Dauert manchmal einfach ein wenig, hatte ich auch schon oft

Hallo ich habe eine GPO und weil es nur einen User gibt der diese nicht bekommen soll habe einen WMI Filter erstellt um nicht noch eine Gruppe erstellen zu müssen. Mir ist klar das die WMI Filter Performance kosten aber ich habe bis jetzt nur 2 Filter. Es handelt sich um eine GPO für den Benutzer wo Schreibzugriff auf USB verhindert wird. Im WMI Filter habe ich: SELECT * from Win32_ComputerSystem WHERE NOT UserName LIKE 'domain\\user' Kann das sein das die nicht geht weil die GPO mit "System" ausgeführt wird oder ist da ein Fehler drin? Auf meinem PC (ohne Domain) scheint die Abfrage mit Paessler WMI Tester zu funktionieren wenn ich den Computernamen statt Domain angebe.

Mit "als Pfad kopieren" bekommt man keinen anklickbaren Link

Es gibt zwar Laufwerkmappings aber etliche User wollen einen UNC Pfad pfad für Outlook den sie dann einen Kollegen schicken. Und mit Laufwerksbuchstaben macht Outlook keinen Link daraus. Nun könnte man aber das manuell im Explorer reinpasten aber das ist wohl schon zuviel Arbeit. Und auf der anderen Seite habe ich schon einige Anwendungen gesehen die nicht mit Laufwerkmappings zurechtkommen. Wenn man z.B. Bitlocker aktiviert kann man den Schlüssel nicht auf ein Netzwerklaufwerk speichern.

Prinzipiell läuft das ganze jetzt. Habe mich nur gefragt wie man denn die Netzwerkumgebung über VPN nutzen kann, weil ist ja anderes Subnet. WINS ?

Seh ich genauso, vor allem gesundheitlich. Und die wenigsten können die Leistungen nachvollziehen die man bringt, es fällt nur auf wenn irgendwas nicht funktioniert. Und der Markt ist imho total überlaufen, die Firmen haben oft irrwitzige Vorstellungen beim Personal. Im Bereich der Administration wird auch meist gespart, dazu noch Verlagerung zu externe Firmen oder Ausland. Ich habe schon 2x in großen Firmen erlebt wie fast die ganze IT Abteilung aufgelöst wurde.