VPN Autologin bei 10 Pro

[xrated2 15]

Ich habe noch etwas festgestellt bzgl dem Fall wenn die VPN Clients ein eigenes Subnet bekommen sollen was es nur auf dem VPN Server gibt.

Hier im Beispiel LAN Netzwerk 192.168.3.0 und VPN Netzwerk 192.168.201.0.

 

Wenn man im Routing&RAS den Relay Agent konfiguriert und auf einen anderen DHCP Server verweist, dann werden von dort die DHCP Optionen bezogen. Auch wenn man für VPN ein anderes Subnet als das LAN Netzwerk benutzt. Man muss im externen DHCP Server natürlich auch den entsprechenden VPN Range anlegen. Ich habe Static unter Routing&RAS in der Adresszuweisung konfiguriert und dort ein eigenes Subnet für VPN. Unter DHCP Relay Agent steht als Interface dort nur Intern, externe Anfragen auf dem LAN Interface gibt es dabei nicht.

 

Wenn man unter Adresszuweisung von Static auf DHCP umstellt, ist ein anderes Subnet für VPN wohl leider gar nicht möglich, wenn Routing&RAS nicht dieses Subnet  auf einem Interface hat und weil man auch nicht einstellen kann auf welchem Interface VPN laufen soll.

 

Damit hat sich dann auch die Verwendung von Add-VpnConnectionTriggerDnsConfiguration und Add-VpnConnectionRoute  erübrigt da man dies in den DHCP Optionen festlegen kann.

 

Die Route zum LAN Netzwerk 192.168.3.0 ist noch etwas besonders, da man nicht weiß welche IP der Client im VPN Netz zugewiesen bekommt, welche als Gateway dient. Es gibt zwar die Option "IP verwenden, die Clients zugewiesen ist", allerdings ist die Maske nur für den Host d.h. 255.255.255.255 und damit funktioniert die Route nicht.

Wenn man da einfach irgendeine IP aus einem anderen Netz eingibt z.B. 1.1.1.1 dann trägt hier der Client die richtige IP, also seine eigene ein. Ob das letztendlich Windows 10 oder der Server macht, habe ich nicht überprüft.

Also z.b. aus der eingetragenen Route:

192.168.3.0 255.255.255.0 1.1.1.1 wird dann unter Windows 10 folgendes eingetragen:

192.168.3.0 255.255.255.0 192.168.201.101

[xrated2 15]

So, also AlwaysOn geht bei Win Pro ja nicht aber dafür ist es leider möglich das sich der User im LAN mit dem VPN verbindet was ja wieder seltsame Effekte haben kann. Gibts da keinen Mechanismus um VPN im LAN zu unterbinden?

[xrated2 15]

Stimmt das das man über cached credentials niemals die GPO aktualisiert bekommt? Die GPO werden doch alle x Std. asynchron ausgeführt.

Oder das man dann auf Homefolder nicht zugreifen kann oder das keine Scripts ausgeführt werden können.

 

bearbeitet 4. Dezember 2019 von xrated2

[daabm 1.366]

Das stimmt. Ohne VPN keine Verbindung zum DC, und ohne DC keine GPOs. Wenn VPN steht und ein DC erreichbar ist, läuft die GPO-Hintergrundaktualisierung ganz normal für alle CSEs, die im Hintergrund verarbeitet werden können. SKripts gehören z.B. NICHT dazu.

[xrated2 15]

A particular CSE requires synchronous foreground processing. There are four CSEs provided by Microsoft that currently require synchronous foreground processing: Software Installation, Folder Redirection, Microsoft Disk Quota and GP Preferences Drive Mapping. If any of these are enabled within one or more GPOs, they will trigger the next foreground processing cycle to run synchronously when they are changed.

 

Mir kommt aber vor als ob da mehr nicht geht...

 

Wenigstens funktioniert bei Windows 10 noch Network Signin beim Anmeldebildschirm d.h. man loggt sich auch mit VPN ein

bearbeitet 5. Dezember 2019 von xrated2

[daabm 1.366]

Jo stimmt soweit. Die Skripts CSE braucht keine Vordergrundverarbeitung, die aktualisiert auch im Hintergrund. ABER die führt die SKripts nicht aus, die trägt sie nur in die Registry ein. Ausgeführt werden sie dann bei der nächsten Vordergrundverarbeitung (Startup/Logon) bzw. beim Logoff/Shutdown. Da viele die Skripts aber auf UNC-Pfaden bzw. direkt in der GPO ablegen, laufen sie leider nicht ohne VPN-Verbindung. Dazu müßten die Skriptdateien (was ich eh empfehle) in lokalen Pfaden gespeichert sein.

bearbeitet 5. Dezember 2019 von daabm