4
SBS2008 - VPN (PPTP) per GPO verteilen - nicht alle Einstellungen kommen an
Hallo allesamt,
ich verteile über den SBS 2008 R2 eine PPTP-Verbindung fürs VPN per Gruppenrichtlinie an XP- und Windows 7-Clients. Dazu nehme ich alle Einstellungen im Gruppenrichtlinienverwaltungs-Editor vor. Die Verteilung klappt, die GP kommt beim Client an, jedoch nicht alle Einstellungen. Was fehlt sind die beiden Haken für "Name, Kennwort, Zertifikat usw. abfragen" und "Windows-Anmeldedomäne einbeziehen". Diese sind am Client deaktiviert, werden nicht verteilt und können also vom Benutzer nicht einmal nachträglich geändert werden. Dagegen wird der erste Haken für "Status während des Wählens anzeigen" gesetzt und kann vom Benutzer auch deaktiviert werden. Alles drei passiert in der selben GP. Eine weitere GP mit Einstellungen zu VPN gibt es nicht. Das Resultat dieser nicht gesetzten und nachträglich nicht setzbaren haken ist, daß der Client keine VPN-Verbindung aufbauen kann.
Wer hat eine Idee, warum auf derselben Einstellungsseite die Haken verschieden am Client ankommen?
ich verteile über den SBS 2008 R2 eine PPTP-Verbindung fürs VPN per Gruppenrichtlinie an XP- und Windows 7-Clients. Dazu nehme ich alle Einstellungen im Gruppenrichtlinienverwaltungs-Editor vor. Die Verteilung klappt, die GP kommt beim Client an, jedoch nicht alle Einstellungen. Was fehlt sind die beiden Haken für "Name, Kennwort, Zertifikat usw. abfragen" und "Windows-Anmeldedomäne einbeziehen". Diese sind am Client deaktiviert, werden nicht verteilt und können also vom Benutzer nicht einmal nachträglich geändert werden. Dagegen wird der erste Haken für "Status während des Wählens anzeigen" gesetzt und kann vom Benutzer auch deaktiviert werden. Alles drei passiert in der selben GP. Eine weitere GP mit Einstellungen zu VPN gibt es nicht. Das Resultat dieser nicht gesetzten und nachträglich nicht setzbaren haken ist, daß der Client keine VPN-Verbindung aufbauen kann.
Wer hat eine Idee, warum auf derselben Einstellungsseite die Haken verschieden am Client ankommen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149953
Url: https://administrator.de/contentid/149953
Printed on: April 19, 2024 at 15:04 o'clock
4 Comments
Latest comment
Hallo.
Mach doch mal einen Screenshot der gesetzten Einstellungen in der Policy, dann versuche ich das nachzustellen.
Mach doch mal einen Screenshot der gesetzten Einstellungen in der Policy, dann versuche ich das nachzustellen.
Hi,
die Clients nutzen VPN per WLAN? Nutzen die auch die Windows eigene Wireless Zero Configuration oder das Tool vom WLAN Adapter? Wenn nicht die Windows eigenen, dann wird die Policy nicht korrekt angewendet....
Karo
die Clients nutzen VPN per WLAN? Nutzen die auch die Windows eigene Wireless Zero Configuration oder das Tool vom WLAN Adapter? Wenn nicht die Windows eigenen, dann wird die Policy nicht korrekt angewendet....
Karo
Ich habe die Ursache herausbekommen und konnte sie entsprechend abstellen, allerdings bin ich mit dem Ergebnis noch nicht zufrieden. Das Dumme ist, daß man es in den Einstellungen der GP auf dem SBS nicht sieht, denn dort ist (vermeintlich) alles richtig. So läuft es ab:
Auf dem Reiter "Optionen" der VPN-Verbindung, die ich verteile, habe ich alle drei Haken gesetzt. Auf dem Reiter "Sicherheit" habe ich unterhalb von MS-CHAP2 den Haken für "Automatisch Windows-Anmeldenamen ... verwenden" gesetzt. In den Einstellungen der GP sind die ersten drei Haken auf der Optionen-Seite weiterhin frie zugänglich. Auf dem Client jedoch sind der zweite und dritte Haken geghosted. Nur wenn ich den Haken bei "Automatisch Windows-Anmeldenamen ... verwenden" herausnehme, komme beim Client alle drei Haken an und sind dann vom Nutzer (de)aktivierbar. Jedoch muß der Benutzer dann immer beim Herstellen der VPN-Verbindung sein Kennwort eingeben, das automatische Übernehmen aus der Windows-Anmeldung funktioniert dann natürlich nicht mehr, weil ich sie ja deaktivieren mußte. (Okay, ich könnte es speichern; ob das unsicherer ist als das direkte Verwenden der Anmeldedaten, kann ich nicht beurteilen).
Ja, die Clients verwenden WLAN (Kunden, Hotel ...) oder auch andere Zugänge (Home-Office), um auf das VPN zuzugreifen. Allerdings tritt das Problem der Fremdsoftware hier eh nicht auf, da es sich bei der VPN-Verbindung ja "nur" um eine weitere Netzwerkverbindung in der Systemsteuerung von Windows handelt und nicht dem Fremdtool für z.B. WLAN. Die eingerichtete VPN-Verbindung verwendet ausschließlich Windows-Bordmittel, und das Dumme an der Sache ist, daß es ja funktioniert, wenn ich die Verbindung mit den gleichen Einstellungen auf dem Client manuell einrichte. Ich bin demnach der Meinung, daß es sich um einen Fehler in dem GP-Einsteller handelt, weil die gleichen Optionen bei manueller Einrichtung zur Verfügung stehen. Da ich trotzdem nicht an jeden Client herangehen und das VPN neu von Hand einrichten werde, bleibt im Moment dann nur, daß die Benutzer Ihr Kennwort erneut eingeben, es sei denn, jemand hat noch eine bessere Idee.
Auf dem Reiter "Optionen" der VPN-Verbindung, die ich verteile, habe ich alle drei Haken gesetzt. Auf dem Reiter "Sicherheit" habe ich unterhalb von MS-CHAP2 den Haken für "Automatisch Windows-Anmeldenamen ... verwenden" gesetzt. In den Einstellungen der GP sind die ersten drei Haken auf der Optionen-Seite weiterhin frie zugänglich. Auf dem Client jedoch sind der zweite und dritte Haken geghosted. Nur wenn ich den Haken bei "Automatisch Windows-Anmeldenamen ... verwenden" herausnehme, komme beim Client alle drei Haken an und sind dann vom Nutzer (de)aktivierbar. Jedoch muß der Benutzer dann immer beim Herstellen der VPN-Verbindung sein Kennwort eingeben, das automatische Übernehmen aus der Windows-Anmeldung funktioniert dann natürlich nicht mehr, weil ich sie ja deaktivieren mußte. (Okay, ich könnte es speichern; ob das unsicherer ist als das direkte Verwenden der Anmeldedaten, kann ich nicht beurteilen).
Ja, die Clients verwenden WLAN (Kunden, Hotel ...) oder auch andere Zugänge (Home-Office), um auf das VPN zuzugreifen. Allerdings tritt das Problem der Fremdsoftware hier eh nicht auf, da es sich bei der VPN-Verbindung ja "nur" um eine weitere Netzwerkverbindung in der Systemsteuerung von Windows handelt und nicht dem Fremdtool für z.B. WLAN. Die eingerichtete VPN-Verbindung verwendet ausschließlich Windows-Bordmittel, und das Dumme an der Sache ist, daß es ja funktioniert, wenn ich die Verbindung mit den gleichen Einstellungen auf dem Client manuell einrichte. Ich bin demnach der Meinung, daß es sich um einen Fehler in dem GP-Einsteller handelt, weil die gleichen Optionen bei manueller Einrichtung zur Verfügung stehen. Da ich trotzdem nicht an jeden Client herangehen und das VPN neu von Hand einrichten werde, bleibt im Moment dann nur, daß die Benutzer Ihr Kennwort erneut eingeben, es sei denn, jemand hat noch eine bessere Idee.
Hallo, ist es auch möglich ein gewissen Benutzerkonto auf diese PPTP verbindung zu setzen und per GPO zu bestimmen das die VPN Verbindung, sich vor der Anmeldung aufbaut?
Riesen dank für jede helfende Antwort
Riesen dank für jede helfende Antwort
