xrated2

Hallo vielleicht kennt ihr im Anmeldebildschirm die Funktion Network Sign-In, man kann sich gleichzeitig (bei MS VPN) mit User am PC und VPN anmelden. Aber wo liegt denn da eigentlich der Nutzen? Einige CSE wie Skripts werden wie gehabt nicht ausgeführt. Obwohl es technisch einfach zu realisieren wäre. Man kann dieses Feature auch nicht forcieren damit sich ein User beim VPN anmelden muss. Wurde das Feature seit XP abgespeckt, seit es DirectAccess und Always On VPN gibt? Oder funktioniert es nur bei 3rd party VPN clients das man sich als erstes im VPN einloggt? https://oregonstate.teamdynamix.com/TDClient/1935/Portal/KB/ArticleDet?ID=52073

Ich probiers jetzt mal mit cmd file. Das seltsame war das es auf dem Testlaptop ging welches über vpn verbunden ist, aber im LAN auf einem neuen Laptop ging gar nichts wegen obigen Fehler.

Die Computerobjekte haben Leserechte auf das Skript. Fürs Logging habe ich ein anderes Share mit Schreibrechte erstellt. Was aber merkwürdig ist das der Trigger 1min. nach Anmeldung nicht funktioniert. Auch bei Wiederholung alle 5min. Wenn ich die Aufgabenplanung mit meinem User starte, sehe ich dann überhaupt ob das als "System" gestartet wurde in der Vergangenheit? Status: 0xFFFD0000 was auf ungültige Argumente hinweist, ich habe: -ExecutionPolicy bypass -File \\server\share\file.ps1 -NoLogo -Noninteractive -WindowStyle Hidden Glaube das -File nicht funktioniert Führe ich die Befehlszeile manuell in cmd aus, funktioniert alles.

Bis jetzt funktioniert alles, habe dem Computerobjekt entsprechend Berechtigungen erteilt damit das als System User funktioniert.

oh danke das wusste ich nicht das ein User gar nicht alle Tasks sieht

Wäre das dann folgendes: Geplante Aufgabe (mindestens Windows 7) unter Computerkonfiguration? Programm: c:\windows\system32\windowspowershell\v1.0\powershell.exe Argument: -ExecutionPolicy bypass -File \\server\vpn\vpn.ps1 -NoLogo -Noninteractive -WindowStyle Hidden Bis jetzt taucht nichts auf nach gpupdate /force auch nicht wenn ich so vorgehe: https://www.windowspro.de/wolfgang-sommergut/geplante-aufgaben-ueber-gruppenrichtlinien-anlegen-loeschen Aufgabe Name vpnconfig Autor domain\myuser Beschreibung Nur ausführen, wenn der Benutzer angemeldet ist S4U Benutzer-ID NT-AUTORITÄT\System Mit höchsten Berechtigungen ausführen LeastPrivilege Ausgeblendet Nein Konfigurieren für 1.3 Aktiviert Ja Trigger 1. Bei Anmeldung des Benutzers starten Aufgabe verzögern für 30 Minuten Aktiviert Ja Aktionen 1. Programm starten Programm/Skript notepad.exe

Ich habe das Profil als -Alluserconnection erstellt weil dann Network Sign-In funktioniert. Ich dachte früher das dann auch Scripts über GPO bzw. alle CSE funktionieren würden aber das tut es nicht. Man kann in Windows 10 nicht mal Network Sign-In als Default einstellen.

Ungerne, habe schlechte Erfahrungen mit Tasks und das müsste auch als System User laufen. Benutzt denn niemand mehr WPP? Das kann doch nicht so schwer sein: <CustomUpdate> <Action> <ElementType>CustomUpdateElements.ScriptElement</ElementType> <ScriptType>Powershell</ScriptType> <Filename>test.ps1</Filename> <Arguments>-Executionpolicy bypass</Arguments> <KillProcess>False</KillProcess> <TimeBeforeKilling>10</TimeBeforeKilling> <Variable/> </Action> </CustomUpdate>

WPP funktioniert auch mit nachträglich verbundenem VPN, dass läuft ja ganz normal über WSUS.

Na ganz einfach ein Powershell Skript starten, VPN Settings am Client verteilen.

Hallo da man ja über VPN (ohne AlwaysOn) keine Scripts am Client starten kann, dachte ich mir da gibts doch in WPP noch Custom Updates. Aber ich bekomme mal wieder nichts zum laufen. Bei Arguments müsste dann: -Executionpolicy bypass stehen? Hier sind auch kleine Hinweise zu finden: http://package541.rssing.com/chan-8331320/all_p126.html Habs auch als executable probiert: File: %windir%\System32\WindowsPowershell\v1.0\powershell.exe Parameters: -ExecutionPolicy Bypass -WindowStyle Hidden -NonInteractive -NoProfile -File test.ps1 Inhalt ps1: start-process -filepath "notepad.exe"

Niemand da? In Punkto Netzunterbrechungen beim VPN Client wird ja bei IkeV2 das sog. Mobility beworben, wo man in der Standardeinstellung bis zu 30min. Netzausfall überbrücken kann ohne das die Verbindung getrennt wird. Leider scheint das nicht bei NAT auf beiden Seiten zu funktionieren und ich komme da auf ca. 20 Sekunden bis die VPN Verbindung getrennt wird, sobald kein Internet mehr da ist.

Hallo Aufgrund Corona laufen mittlerweile alle Clients über VPN. Momentan habe ich für VPN Clients ein eigenes Subnet laufen, was aber nicht mehr unbedingt benötigt wird. Es ist momentan das Problem das die Namensauflösung der Clients nicht funktioniert d.h. der DHCP Server liefert falsche IP Adressen vom Client (als wäre er im LAN Subnet) bei Abfrage. So ist es momentan eingerichtet: VPN Verbindung am Client per Powershell hinzugefügt: Add-VpnConnection -Name $vpnname -ServerAddress $vpnserver -TunnelType "Sstp" -EncryptionLevel "Maximum" -AuthenticationMethod "Eap" -EapConfigXmlStream $EAPconfig -RememberCredential -AllUserConnection -SplitTunneling In RRAS habe ich unter Adressezuweisung einen statischen Adresspool mit dem VPN Range angelegt. Weiter habe ich unter DHCP-Relay-Agent die IP Adressen von beiden DHCP Servern hinterlegt, damit die DHCP Optionen vom Client bezogen werden. Im DHCP Server habe ich einen VPN Range mit den entsprechenden DHCP Optionen angelegt. Dort tauchen die Leases aber leider nicht auf, deswegen wohl auch die Probleme mit der Namensauflösung. Bei RRAS gibt es keine Möglichkeit das zu verbessern, ausser die VPN Clients im LAN Subnet laufen zu lassen, richtig? Wenn ich wieder alles auf ein Subnet umstelle, wie setze ich dann die Default Route auf den Clients: Add-VpnConnectionRoute -ConnectionName "vpn" -DestinationPrefix "192.168.3.0/24" Es gibt bei Win10 zwar die Möglichkeit wenn die Verbindung als -AllUserConnection angelegt ist, sich gleichzeitig bei Windows + VPN anzumelden, aber funktionieren dann auch CSE wie Logon oder Startup Scripts? Offiziell geht das ja nur über AlwaysOn + Win10 Enterprise über einen Gerätetunnel aber es ist leider nur Pro vorhanden.

Hab grad mal SystemUpdate installiert, kann man ja über admx steuern. Als User kann man die tvsu.exe zwar starten aber automatisch bei Benutzeranmeldung via GPO startet nicht, dafür kann man es manuell in der Systemsteuerung starten. Repository einstellen über admx hat funktioniert aber das mit dem ausschalten der Lizenzhinweise nicht.

Hat das hier niemand in Benutzung?

Hallo ich bin gerade dabei ThinInstaller zu verteilen, die Software habe ich über WPP verteilt. Weil bei der vorinstallierten Vantage App automatisch Treiber/FW installiert wird und ich nicht weiß wie ich das aus der Ferne deaktivieren kann, habe ich diese über ein Powershell deinstalliert. Beim Defender musste ich IA.exe erlauben weil überwachter Ordnerzugriff aktiv ist. Was aber nicht funktioniert ist das automatische starten vom Programm! Also ohne Adminrechte funktioniert es ja generell nicht also habe ich es versucht via GPO als System zu starten unter Computer\Richtlinien\Administrative Vorlagen\System\Anmelden\Diese Programme bei der Benutzeranmeldung ausführen Leider tut sich da nichts, man sieht nichts in den Logs. Starte ich mit psexec ein cmd mit Systemrechten kann ich es einwandfrei starten. Oder geht das nur über den Scheduler? Der Befehl sieht so aus: "c:\program files (x86)\ThinInstaller\ThinInstaller.exe" /CM -search R -action INSTALL -repository \\server\lenovoupdate -noicon -includerebootpackages 1,3,4 -noreboot Das share funktioniert natürlich auch. P.S. Ich dachte mir das Thininstaller besser wäre, weil schlanker als System Update und es gibt über Update Retriever ein zentrales Repository im LAN um kontrolliert Updates und FW zu verteilen oder ist ThinInstaller mit zu vielen Nachteilen verbunden?

Lokaler Speicher via RAID und Hyper-V in der kostenlosen Variante d.h. stark eingeschränkte GUI

Zwei gleiche Server halte ich nicht für sinnvoll bei der geringen Anforderung. Ich hatte das so gemacht das ein Server etwas schneller ist mit Virtualisierung inkl. DC aber das war auch nur ein Quadcore (auf dem laufen mittlerweile 8 VMs) und der zweite DC ist der alte Server auf dem auch Veeam Backup läuft, da reicht auch Dualcore. Dann sollte man auch die Lizenzkosten für Windows Server beachten. Bei SSD gibt es unterschied Consumer und Server. Festplattenplatz für Backup ist erheblich größer.

Der Geräte Tunnel läuft afaik nur mit Entprise oder Education und das macht ja letztendlich Always On oder Direct Access aus. Das läuft über Ikev2 Fremd VPN steht was von VPN Server wie Cisco. Beim Client hat man mit SSTP nicht viel Auswahl. Wenn man ein Userzertifikat erstellt wo weißt man das denn dem User zu? Im RAS Manager steht bei mir nur das https Zertifikat vom VPN Server selbst. Und es geht nur entweder Userzertifikat oder Authentifizierung via Passwort über MsChapv2 oder?

Ja da war doch irgendwas das bei AlwaysOn und DirectAccess zusätzlich das Computerkonto angemeldet wird, habe leider kein Windows Enterprise und deswegen die Sparversion nehmen müssen. Das einzige was da der Client braucht ist das CA Zertifikat. Und da macht CRL nicht viel Sinn.

Bei MS VPN gibts ja eh nur ein Zertifikat, da macht man einfach ein neues. Oder kann man bei AlwaysOn auch noch Computerkonten sperren? Gegen Computerdiebstahl gibts Bitlocker.

Einfach Zertifikat ohne CRL erstellen

A particular CSE requires synchronous foreground processing. There are four CSEs provided by Microsoft that currently require synchronous foreground processing: Software Installation, Folder Redirection, Microsoft Disk Quota and GP Preferences Drive Mapping. If any of these are enabled within one or more GPOs, they will trigger the next foreground processing cycle to run synchronously when they are changed. Mir kommt aber vor als ob da mehr nicht geht... Wenigstens funktioniert bei Windows 10 noch Network Signin beim Anmeldebildschirm d.h. man loggt sich auch mit VPN ein

Stimmt das das man über cached credentials niemals die GPO aktualisiert bekommt? Die GPO werden doch alle x Std. asynchron ausgeführt. Oder das man dann auf Homefolder nicht zugreifen kann oder das keine Scripts ausgeführt werden können.

wenn dhcpfind sowas ausspuckt kann wohl nur ein Fehler im Programm sein oder: Packet from 97.100.46.109 Offered IP 192.168.3.118 das habe ich nur zufällig kurz gesehen und später nie wieder Die seltsamen Einträge durch reconcile: repair-dhcpserverv4iprecord sind auch nicht mit netsh dhcp server scope <ip of scope> delete lease <specific ip to delete> dauerhaft löschbar wenn ich das dhcpfind tool laufen lasse dann taucht die IP auch bei reconcile auf, das wäre ja noch zu erklären. Aber vor dem Tool gab es auch Einträge. Sehr verwirrend alles.