Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anmeldung am Firmennetzwerk über VPN Verbindung

Frage Netzwerke

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

05.07.2012 um 11:29 Uhr, 5401 Aufrufe, 16 Kommentare

Hallo,

ich stehe auf dem Schlauch und wüßte nicht, wie ich das lösen sollte. Hoffe jemand kann helfen. Es gibt einige Außerndienstmitarbeiter, die sich über unsere VPN-Leitung am Firmennetzwerk verbinden können. Dazu nutzen sie den VPN-Client VPNGui.

Um die VPN-Verbindung jedoch starten zu können, müssen sie natürlich erstmal ihren Laptop starten. Sie loggen sich über die Anmeldemaske mit dem Firmenbenutzernamen an der Firmendomäne an (lokal natürlich auf ihrem Laptop, durch das lokalgespeicherte Profil) und nun befinden sie sich auf ihrem Desktop.

Erste jetzt starten sie den VPC-Client und stellen die Verbindung zum Firmennetzwerk her. Das Problem nun an der Sache:

sie kriegen gar nicht ihre zugewiesenen Laufwerksbuchstaben (Mappings) zugeordnet, da sie ja bereits an ihrem Windows durch das lokale Profil angemeldet sind. Es kommt also gar nicht erst dazu, dass ihr Loginskript abgearbeitet wird und somit auch die "net use foobar" Anweisungen.

Bisher haben wir das so gelöst, dass wir bei diesen Mitarbeitern auf ihrem Laptop die mitarbeitername.bat auf ihrem Desktop kopiert haben. Nachdem sie per VPN verbunden sind, doppelklicken Sie auf diese .bat um ihre Mappings durchzuführen. Das ist natürlich keine feine Lösung, und bei 2-3 Leuten noch überschaubar. Außerdem müssten wir bei jeder Anpassung des Loginskripts für diese Mitarbeiter immer wieder diese Änderung auch lokal auf ihren Desktop kopieren.

Wie löst man also so etwas profesionell und vor allem automatisiert? Ich kann ja schlecht die VPN-Verbindung durch einen automatischen Dienst oder so herstellen, da sie ja einen Schlüssel(Zertif.)+Passphrase verwenden, um die VPN-Verbindung erfolgreich herstellen zu können.

Ich freue mich auf Hilfestellung und bin schon gespannt auf eure Antworten.
Mitglied: kontext
05.07.2012, aktualisiert um 11:52 Uhr
HeyHo,

wie es mit dem VPN-Client VPNGui aussieht kann ich dir leider nicht sagen.
Wir setzen den Cisco AnyConnect ein - dort kannst du ein Script einbinden was automatisch ausgeführt wird wenn die Verbindung aufgebaut wurde ...

EDIT: wir haben dort ein Script eingefügt das auf unser Anmeldescript zeigt ...
... d.H. es ist nur eine Änderung des Anmeldescripts notwendig und alle Clients (egal ob im Netzwerk oder Zugriff via VPN) haben das aktuelle Script

Greetz
fabian (zanko)
Bitte warten ..
Mitglied: panguu
05.07.2012 um 12:46 Uhr
Ja aber wenn ich ein Skript auf dem VPN-Server zum automatischen Ausführen reinschreibe, dann würden ja alle VPN-Clients dieses Skript ausgeführt bekommen. Ich hab aber für jeden Mitarbeiter ein eigenes loginskript. Am besten wäre es wenn ich es irgendwie schaffen würde, dass jeder Client automatisch das Skript \\meinserver\netlogon\%username%.bat ausführt ncahdem er erfolgreich verbunden ist. Die Frage ist wie ich das hinkriege, auch mit der Variable username.

Irgendeine idee?
Bitte warten ..
Mitglied: Pjordorf
05.07.2012 um 20:16 Uhr
Hallo,

Zitat von panguu:
VPN-Client VPNGui.
Besonderen Grund?

Wie löst man also so etwas profesionell und vor allem automatisiert?
VPN vor dem Anmelden starten lassen. Ist in jedem Windows Client seit XP drin. Direct Access ist auch jetzt möglich.
http://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
http://www.winvistatips.com/connecting-vpn-before-login-t599242.html
http://social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/ ...

Ich freue mich auf Hilfestellung
Die Suche mal benutzen? Oben die Drei sind nur ein Teil der gefunden 1.110.000 möglichen Antworten

Gruß,
Peter
Bitte warten ..
Mitglied: panguu
06.07.2012 um 08:45 Uhr
Hallo nochmal. Erstmal danke für dein freundliches feedback. Ich vergass hinzuzuügen, dass es sich nicht um eine VPN-Verbindung über IPSec oder ähnliches handelt, sondern um eine OpenVPN Verbindung. Die genannten Tutorials erklären nämlich, wir das innerhalb Windows angepasst werden kann.

Ich habe weiter gegoogelt und anscheined geht es auch über OpenVPN durch automatischen Diensstart. Leider finde ich keine passende GUI oder Installer mit dem ich so einen Dienst einrichten könnte. Das Blöde aber immer noch ist, daß der User ja gar keinen Schlüssel eingeben könnte. Klar kann ich ein Zertifikat ohne Passphrase erstellen, aber das ist ja auch nicht besonders sicher, oder?

Wer hat denn schonmal so eine automatische OpenVPN-Verbindung erfolgreich herstellen können? Mir gehts hauptsächlich und wirklich nur darum, dass die User auch ihr Loginprofil abgearbeitet bekommen.
Bitte warten ..
Mitglied: Chonta
06.07.2012, aktualisiert um 13:26 Uhr
Hallo,

wenn das Normale OpenVPN installiert ist, hast Du bereits einen Windowsdeist, der nur auf Automatisches starten gestellt werden muss.
ABER dieser Dienst greift auf die Config im OpenVPN Ordner zu und auch vor der Anmeldung des Benutzers.
DH Du musst dafür eine Einwahl ermöglichen, die keine Benutzerinteraktion benötigt z.B. Zertifikat ohne Passwort.

Dann steht das VPN schon bevor sich der benutzer anmeldet und kann sich gleich richtig mit dem Domänenkonto anmelden.
Da ich davon Ausgehe, das die Rechner incl. Systempartition verschlüsselt sind, braucht das Zertifikat auch kein extra Passwort.
Sollten die Geräte nicht verschlüpsselt sein, dann ist das jetzt die Gelegenheit.

Gruß

Chonta

PS: Wenn Du für die betroffenen Benutzer mit Servergespeicherten Profielen arbeitets... Stell sie um oder Du wird dich bald ärgern
Bitte warten ..
Mitglied: panguu
06.07.2012 um 15:24 Uhr
Na da schau her. Den Dienst hatte ich wirklich. Hab mir neue Zertifikate erstellt ohne Passphrase und siehe da es funktioniert. Eine Verschlüsselung aller Notebooks ist vorhanden (Truecrypt) also sollte ich mir keine Sorgen machen.

Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen? ich nutze LDAP und kein AD, spielt das 'ne Rolle? Mein PDC ist Samba
Bitte warten ..
Mitglied: Chonta
06.07.2012 um 16:03 Uhr
Hallo,

auch mit Samba ist es möglich Servergespeicherte Profile zu verwenden.
Also wenn die nur Lokal sind ist ok, wenn die profile aber immer gesynct werden eiwei.
Netzlaufwerke ist egal, weil nur dann Daten übertragen werden wenn auf diese zugegriffen wird.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
06.07.2012, aktualisiert um 16:51 Uhr
Hallo,

Zitat von panguu:
Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen?
http://www.lmgtfy.com/?q=server+gespeicherte+profile

Und auch dies http://www.administrator.de/faq/32 nicht vergessen. Danke.

Gruß,
Peter
Bitte warten ..
Mitglied: panguu
06.07.2012 um 16:27 Uhr
ich verwende servergespeicherte Profile, eieiei. Die Frage ist nur, wie ich diesen VPN-Clients sagen kann, dass bei einer Anmeldung nicht das komplette Profil gesynct werden soll ? Ich kann mich erinnern, dass der Client trotzdem mit seinem lokalen Profil arbeiten konnte. Und wenn er wieder vor Ort in der Firma war und am Netzkabel angeschlossen war, wurde das Profil vom Notebook mit dem Server gesynct. Geht das nicht irgendwie ohne AD ?
Bitte warten ..
Mitglied: Pjordorf
06.07.2012 um 17:01 Uhr
Hallo,

Zitat von panguu:
ich verwende servergespeicherte Profile, eieiei.
Siehste. Geht doch

Die Frage ist nur, wie ich diesen VPN-Clients sagen kann,
Es gibt die erkennung von langsame Verbindungen. Wieviel langsam ist kannst du slebst festlegen. Ebenso kannst du festlegen das bei erkannter langsamer Verbindung eben kein Roaming Profil übertragen werden soll. Alles in den Gruppenrichtlinien. Aber Fragen sollten dann in einem neuen seperaten Thread behandelt werden. Dieser ist ja gelöst.


Gruß,
Peter
Bitte warten ..
Mitglied: Chonta
06.07.2012, aktualisiert um 17:05 Uhr
Hallo,

wenn das Mobile Rechner sind, brauchen die kein Servergespeichertes Profil. Sobald der Rechner die Verbindung zum Server via VPN hat, wird bei der Anmeldung vom Benutzer ALLES abgearbeitet als wäre er bei Euch im LAN.
Du muss nur bei seinen Anmeldeinfos einstellen, das es kein Serverprofil mehr ist sondern ein lokales dann an und abmelden und nochmal anmelden und das Profiel sollte nur noch lokal verarbeitet werden (Profile haben manchmal ein gar sonderliches Verhalten).

Die Tests bitte machen, solange die Benutzer im LAN sind sonst heist es für den benutzer unterwegs, "Wenns mal wieder länger dauert.." und bei Verbindung über z.B. Modem, SERH lange

Gruß

Chonta

Da er kein AD verwendet wird das nicht greifen und selbst mit AD greift das mit der Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN.
(Lasse mich diesbezüglich gerne belehren)
Bitte warten ..
Mitglied: panguu
06.07.2012 um 17:11 Uhr
@Pjordorf: ok danke für den Hinweis. Diese Einstellung kenne ich und weiß auch wo sie in den GPOs zu finden ist. Ich müsste aber wohl irgendwie an jedem einzelnen Notebook das durchführen, oder? Ich kann ja keine GPOs verteilen da kein AD im Einsatz.

@Chonta: Danke für den Tip. Ich würde das gerne genauso machen, so dass kein servergespeichertes Profil verwendet wird. Wie soll ich das explizit aber einstellen in dem Useraccount? Wenn ich den jeweiligen User im LDAP öffne, dann hab ich ein Feld namens "profile path" und dort steht normalerweise "\\meinpdc\profiles\maxmustermann" würde es genügen dieses Feld einfach zu leeren und der User hat somit kein servergespeichertes Profil mehr?
Bitte warten ..
Mitglied: Chonta
06.07.2012 um 17:30 Uhr
Hallo,

jo \\.... mus weg, dann wird das wieder zum lokalen Profil.
Teste das ganze aber sicherhaltshalber mit nem Testbenutzer .

Jo ohne AD musst Du das dann lokal an jeder Kiste machen, und wie gesagt ich glaube nicht, das es über eine nicht Microsoftschnittstelle funktioniert.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
06.07.2012 um 17:42 Uhr
Hallo,

Zitat von panguu:
da kein AD im Einsatz.
Sorry. Nicht mehr dran gedacht das du es uns gesagt hattest. Dan wird es dann mit den GPOs nichts.

würde es genügen dieses Feld einfach zu leeren
Das sollte reichen.

@Chonta,
Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN
Das habe ich selbst noch nicht mit nicht MS VPN getestet. Ich kann dazu aber auch keine Aussage finden. Der Vorgang zur Ermittlung ob es eine langsame Verbindung ist, ist aber recht trivial und sollte nicht nur auf MS eigene Verbindungen machbar sein. Auszug

How Group Policy Processing measures link speed?
  1. Ping the server with 0 bytes of data and time the number of milliseconds. This value is time#1. If it is less than 10 ms, exit (assume a fast link).
  2. Ping the server with 2 kilobytes (KB) of uncompressible data, and time the number of milliseconds. This value is time#2. The algorithm uses a compressed .jpg file to ping the server.
  3. DELTA = time#2 - time#1. This removes the overhead of session setup, with the result being equal to the time to move 2 KB of data.
  4. Calculate Delta three times, adding to TOTAL each DELTA value. Use the following calculations:
  5. TOTAL/3 = Average of DELTA in milliseconds.
  6. 2 * (2 KB) * (1000 ms/sec) / DELTA Average ms = X
  7. X = (4000 KB/sec) / DELTA Average
  8. Z Kbps = ((4000 KB) / DELTA Average) *(8 bits/byte)
  9. Z Kbps = 32000 kbps/Delta Average.
Two KB of data have moved in each direction (this is represented by the leading factor two on the left side in step six) through each modem, Ethernet card, or other device in the loop once. The resulting Z value is evaluated against the policy setting. A default of less than 500 Kbps is considered a slow link; faster than 500 Kbps is a fast link.

If Z is less than 500 Kbps the connection is considered slow, otherwise it is considered fast.

Also das sollte mit jeder Art Verbindung gehen. Leider werden hierzu aber Gruppenrichtlinien benötigt.

Gruß,
Peter
http://support.microsoft.com/kb/227260
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Slow_Link_Detec ...
Bitte warten ..
Mitglied: panguu
06.07.2012 um 17:45 Uhr
Danke euch. Ich werde das testen und berichten. Schönes Wochenende erstmal an Alle
Bitte warten ..
Mitglied: spacyfreak
07.07.2012, aktualisiert um 20:30 Uhr
Am saubersten wäre es, wenn die VPN VErbindung aufgebaut wird BEVOR sich der Client überhaupt am Windows anmeldet. Geht z. B. mit Cisco.

Wir bieten den Anwendern ein manuell ausführbares Skript.
Dieses Skript enthält jedoch nicht die net use Befehle, sondern dient nur dazu, NACHTRÄGLICH das DC Startskript auf dem Client nach dem Aufbau der VPN Verbindung ausführen zu lassen.

Alternativ finde ich net use mapping mit /PERSISTENT:yes nicht schlecht - dann sind die Laufwerke IMMER gemappt, und nachdem die VPN Verbindung aufgebaut ist kann der User auch gleich zugreifen auf die tollen Daten. Macht aber nur Sinn wenn sich die Laufwerke nicht ständig ändern.
Säubern kann man das aber auch einfach mit

net use * /d /yes

dann sind alle netzlaufwerke ent-mappt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Windows Server
gelöst Netzlaufwerke mit einer VPN Verbindung verbinden lassen (16)

Frage von M.Marz zum Thema Windows Server ...

Netzwerke
gelöst VPN Verbindung WIndows Rechner via FritzBox Fernzugang - Kein Internet

Frage von garack zum Thema Netzwerke ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...