16
Anmeldung am Firmennetzwerk über VPN Verbindung
Hallo,
ich stehe auf dem Schlauch und wüßte nicht, wie ich das lösen sollte. Hoffe jemand kann helfen. Es gibt einige Außerndienstmitarbeiter, die sich über unsere VPN-Leitung am Firmennetzwerk verbinden können. Dazu nutzen sie den VPN-Client VPNGui.
Um die VPN-Verbindung jedoch starten zu können, müssen sie natürlich erstmal ihren Laptop starten. Sie loggen sich über die Anmeldemaske mit dem Firmenbenutzernamen an der Firmendomäne an (lokal natürlich auf ihrem Laptop, durch das lokalgespeicherte Profil) und nun befinden sie sich auf ihrem Desktop.
Erste jetzt starten sie den VPC-Client und stellen die Verbindung zum Firmennetzwerk her. Das Problem nun an der Sache:
sie kriegen gar nicht ihre zugewiesenen Laufwerksbuchstaben (Mappings) zugeordnet, da sie ja bereits an ihrem Windows durch das lokale Profil angemeldet sind. Es kommt also gar nicht erst dazu, dass ihr Loginskript abgearbeitet wird und somit auch die "net use foobar" Anweisungen.
Bisher haben wir das so gelöst, dass wir bei diesen Mitarbeitern auf ihrem Laptop die mitarbeitername.bat auf ihrem Desktop kopiert haben. Nachdem sie per VPN verbunden sind, doppelklicken Sie auf diese .bat um ihre Mappings durchzuführen. Das ist natürlich keine feine Lösung, und bei 2-3 Leuten noch überschaubar. Außerdem müssten wir bei jeder Anpassung des Loginskripts für diese Mitarbeiter immer wieder diese Änderung auch lokal auf ihren Desktop kopieren.
Wie löst man also so etwas profesionell und vor allem automatisiert? Ich kann ja schlecht die VPN-Verbindung durch einen automatischen Dienst oder so herstellen, da sie ja einen Schlüssel(Zertif.)+Passphrase verwenden, um die VPN-Verbindung erfolgreich herstellen zu können.
Ich freue mich auf Hilfestellung und bin schon gespannt auf eure Antworten.
ich stehe auf dem Schlauch und wüßte nicht, wie ich das lösen sollte. Hoffe jemand kann helfen. Es gibt einige Außerndienstmitarbeiter, die sich über unsere VPN-Leitung am Firmennetzwerk verbinden können. Dazu nutzen sie den VPN-Client VPNGui.
Um die VPN-Verbindung jedoch starten zu können, müssen sie natürlich erstmal ihren Laptop starten. Sie loggen sich über die Anmeldemaske mit dem Firmenbenutzernamen an der Firmendomäne an (lokal natürlich auf ihrem Laptop, durch das lokalgespeicherte Profil) und nun befinden sie sich auf ihrem Desktop.
Erste jetzt starten sie den VPC-Client und stellen die Verbindung zum Firmennetzwerk her. Das Problem nun an der Sache:
sie kriegen gar nicht ihre zugewiesenen Laufwerksbuchstaben (Mappings) zugeordnet, da sie ja bereits an ihrem Windows durch das lokale Profil angemeldet sind. Es kommt also gar nicht erst dazu, dass ihr Loginskript abgearbeitet wird und somit auch die "net use foobar" Anweisungen.
Bisher haben wir das so gelöst, dass wir bei diesen Mitarbeitern auf ihrem Laptop die mitarbeitername.bat auf ihrem Desktop kopiert haben. Nachdem sie per VPN verbunden sind, doppelklicken Sie auf diese .bat um ihre Mappings durchzuführen. Das ist natürlich keine feine Lösung, und bei 2-3 Leuten noch überschaubar. Außerdem müssten wir bei jeder Anpassung des Loginskripts für diese Mitarbeiter immer wieder diese Änderung auch lokal auf ihren Desktop kopieren.
Wie löst man also so etwas profesionell und vor allem automatisiert? Ich kann ja schlecht die VPN-Verbindung durch einen automatischen Dienst oder so herstellen, da sie ja einen Schlüssel(Zertif.)+Passphrase verwenden, um die VPN-Verbindung erfolgreich herstellen zu können.
Ich freue mich auf Hilfestellung und bin schon gespannt auf eure Antworten.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187525
Url: https://administrator.de/forum/anmeldung-am-firmennetzwerk-ueber-vpn-verbindung-187525.html
Ausgedruckt am: 12.04.2025 um 06:04 Uhr
16 Kommentare
Neuester Kommentar
HeyHo,
wie es mit dem VPN-Client VPNGui aussieht kann ich dir leider nicht sagen.
Wir setzen den Cisco AnyConnect ein - dort kannst du ein Script einbinden was automatisch ausgeführt wird wenn die Verbindung aufgebaut wurde ...
EDIT: wir haben dort ein Script eingefügt das auf unser Anmeldescript zeigt ...
... d.H. es ist nur eine Änderung des Anmeldescripts notwendig und alle Clients (egal ob im Netzwerk oder Zugriff via VPN) haben das aktuelle Script
Greetz
fabian (zanko)
wie es mit dem VPN-Client VPNGui aussieht kann ich dir leider nicht sagen.
Wir setzen den Cisco AnyConnect ein - dort kannst du ein Script einbinden was automatisch ausgeführt wird wenn die Verbindung aufgebaut wurde ...
EDIT: wir haben dort ein Script eingefügt das auf unser Anmeldescript zeigt ...
... d.H. es ist nur eine Änderung des Anmeldescripts notwendig und alle Clients (egal ob im Netzwerk oder Zugriff via VPN) haben das aktuelle Script
Greetz
fabian (zanko)
Ja aber wenn ich ein Skript auf dem VPN-Server zum automatischen Ausführen reinschreibe, dann würden ja alle VPN-Clients dieses Skript ausgeführt bekommen. Ich hab aber für jeden Mitarbeiter ein eigenes loginskript. Am besten wäre es wenn ich es irgendwie schaffen würde, dass jeder Client automatisch das Skript \\meinserver\netlogon\%username%.bat ausführt ncahdem er erfolgreich verbunden ist. Die Frage ist wie ich das hinkriege, auch mit der Variable username.
Irgendeine idee?
Irgendeine idee?
Hallo,
Besonderen Grund?
http://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
http://www.winvistatips.com/connecting-vpn-before-login-t599242.html
http://social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/ ...
Gruß,
Peter
Besonderen Grund?
Wie löst man also so etwas profesionell und vor allem automatisiert?
VPN vor dem Anmelden starten lassen. Ist in jedem Windows Client seit XP drin. Direct Access ist auch jetzt möglich.http://htipe.wordpress.com/2010/02/11/connect-to-vpn-before-logging-in- ...
http://www.winvistatips.com/connecting-vpn-before-login-t599242.html
http://social.technet.microsoft.com/Forums/en/w7itpronetworking/thread/ ...
Ich freue mich auf Hilfestellung
Die Suche mal benutzen? Oben die Drei sind nur ein Teil der gefunden 1.110.000 möglichen AntwortenGruß,
Peter
Hallo nochmal. Erstmal danke für dein freundliches feedback. Ich vergass hinzuzuügen, dass es sich nicht um eine VPN-Verbindung über IPSec oder ähnliches handelt, sondern um eine OpenVPN Verbindung. Die genannten Tutorials erklären nämlich, wir das innerhalb Windows angepasst werden kann.
Ich habe weiter gegoogelt und anscheined geht es auch über OpenVPN durch automatischen Diensstart. Leider finde ich keine passende GUI oder Installer mit dem ich so einen Dienst einrichten könnte. Das Blöde aber immer noch ist, daß der User ja gar keinen Schlüssel eingeben könnte. Klar kann ich ein Zertifikat ohne Passphrase erstellen, aber das ist ja auch nicht besonders sicher, oder?
Wer hat denn schonmal so eine automatische OpenVPN-Verbindung erfolgreich herstellen können? Mir gehts hauptsächlich und wirklich nur darum, dass die User auch ihr Loginprofil abgearbeitet bekommen.
Ich habe weiter gegoogelt und anscheined geht es auch über OpenVPN durch automatischen Diensstart. Leider finde ich keine passende GUI oder Installer mit dem ich so einen Dienst einrichten könnte. Das Blöde aber immer noch ist, daß der User ja gar keinen Schlüssel eingeben könnte. Klar kann ich ein Zertifikat ohne Passphrase erstellen, aber das ist ja auch nicht besonders sicher, oder?
Wer hat denn schonmal so eine automatische OpenVPN-Verbindung erfolgreich herstellen können? Mir gehts hauptsächlich und wirklich nur darum, dass die User auch ihr Loginprofil abgearbeitet bekommen.
Hallo,
wenn das Normale OpenVPN installiert ist, hast Du bereits einen Windowsdeist, der nur auf Automatisches starten gestellt werden muss.
ABER dieser Dienst greift auf die Config im OpenVPN Ordner zu und auch vor der Anmeldung des Benutzers.
DH Du musst dafür eine Einwahl ermöglichen, die keine Benutzerinteraktion benötigt z.B. Zertifikat ohne Passwort.
Dann steht das VPN schon bevor sich der benutzer anmeldet und kann sich gleich richtig mit dem Domänenkonto anmelden.
Da ich davon Ausgehe, das die Rechner incl. Systempartition verschlüsselt sind, braucht das Zertifikat auch kein extra Passwort.
Sollten die Geräte nicht verschlüpsselt sein, dann ist das jetzt die Gelegenheit.
Gruß
Chonta
PS: Wenn Du für die betroffenen Benutzer mit Servergespeicherten Profielen arbeitets... Stell sie um oder Du wird dich bald ärgern
wenn das Normale OpenVPN installiert ist, hast Du bereits einen Windowsdeist, der nur auf Automatisches starten gestellt werden muss.
ABER dieser Dienst greift auf die Config im OpenVPN Ordner zu und auch vor der Anmeldung des Benutzers.
DH Du musst dafür eine Einwahl ermöglichen, die keine Benutzerinteraktion benötigt z.B. Zertifikat ohne Passwort.
Dann steht das VPN schon bevor sich der benutzer anmeldet und kann sich gleich richtig mit dem Domänenkonto anmelden.
Da ich davon Ausgehe, das die Rechner incl. Systempartition verschlüsselt sind, braucht das Zertifikat auch kein extra Passwort.
Sollten die Geräte nicht verschlüpsselt sein, dann ist das jetzt die Gelegenheit.
Gruß
Chonta
PS: Wenn Du für die betroffenen Benutzer mit Servergespeicherten Profielen arbeitets... Stell sie um oder Du wird dich bald ärgern
Na da schau her. Den Dienst hatte ich wirklich. Hab mir neue Zertifikate erstellt ohne Passphrase und siehe da es funktioniert. Eine Verschlüsselung aller Notebooks ist vorhanden (Truecrypt) also sollte ich mir keine Sorgen machen.
Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen? ich nutze LDAP und kein AD, spielt das 'ne Rolle? Mein PDC ist Samba
Wie genau meintest du das jetzt aber noch bzgl. den servergespeicherten Profilen? ich nutze LDAP und kein AD, spielt das 'ne Rolle? Mein PDC ist Samba
Hallo,
auch mit Samba ist es möglich Servergespeicherte Profile zu verwenden.
Also wenn die nur Lokal sind ist ok, wenn die profile aber immer gesynct werden eiwei.
Netzlaufwerke ist egal, weil nur dann Daten übertragen werden wenn auf diese zugegriffen wird.
Gruß
Chonta
auch mit Samba ist es möglich Servergespeicherte Profile zu verwenden.
Also wenn die nur Lokal sind ist ok, wenn die profile aber immer gesynct werden eiwei.
Netzlaufwerke ist egal, weil nur dann Daten übertragen werden wenn auf diese zugegriffen wird.
Gruß
Chonta
Hallo,
http://www.lmgtfy.com/?q=server+gespeicherte+profile
Und auch dies Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen. Danke.
Gruß,
Peter
http://www.lmgtfy.com/?q=server+gespeicherte+profile
Und auch dies Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen. Danke.
Gruß,
Peter
ich verwende servergespeicherte Profile, eieiei. Die Frage ist nur, wie ich diesen VPN-Clients sagen kann, dass bei einer Anmeldung nicht das komplette Profil gesynct werden soll ? Ich kann mich erinnern, dass der Client trotzdem mit seinem lokalen Profil arbeiten konnte. Und wenn er wieder vor Ort in der Firma war und am Netzkabel angeschlossen war, wurde das Profil vom Notebook mit dem Server gesynct. Geht das nicht irgendwie ohne AD ?
Hallo,
Siehste. Geht doch
Gruß,
Peter
Siehste. Geht doch
Die Frage ist nur, wie ich diesen VPN-Clients sagen kann,
Es gibt die erkennung von langsame Verbindungen. Wieviel langsam ist kannst du slebst festlegen. Ebenso kannst du festlegen das bei erkannter langsamer Verbindung eben kein Roaming Profil übertragen werden soll. Alles in den Gruppenrichtlinien. Aber Fragen sollten dann in einem neuen seperaten Thread behandelt werden. Dieser ist ja gelöst. Gruß,
Peter
Hallo,
wenn das Mobile Rechner sind, brauchen die kein Servergespeichertes Profil. Sobald der Rechner die Verbindung zum Server via VPN hat, wird bei der Anmeldung vom Benutzer ALLES abgearbeitet als wäre er bei Euch im LAN.
Du muss nur bei seinen Anmeldeinfos einstellen, das es kein Serverprofil mehr ist sondern ein lokales dann an und abmelden und nochmal anmelden und das Profiel sollte nur noch lokal verarbeitet werden (Profile haben manchmal ein gar sonderliches Verhalten).
Die Tests bitte machen, solange die Benutzer im LAN sind sonst heist es für den benutzer unterwegs, "Wenns mal wieder länger dauert.." und bei Verbindung über z.B. Modem, SERH lange
Gruß
Chonta
Da er kein AD verwendet wird das nicht greifen und selbst mit AD greift das mit der Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN.
(Lasse mich diesbezüglich gerne belehren)
wenn das Mobile Rechner sind, brauchen die kein Servergespeichertes Profil. Sobald der Rechner die Verbindung zum Server via VPN hat, wird bei der Anmeldung vom Benutzer ALLES abgearbeitet als wäre er bei Euch im LAN.
Du muss nur bei seinen Anmeldeinfos einstellen, das es kein Serverprofil mehr ist sondern ein lokales dann an und abmelden und nochmal anmelden und das Profiel sollte nur noch lokal verarbeitet werden (Profile haben manchmal ein gar sonderliches Verhalten).
Die Tests bitte machen, solange die Benutzer im LAN sind sonst heist es für den benutzer unterwegs, "Wenns mal wieder länger dauert.." und bei Verbindung über z.B. Modem, SERH lange
Gruß
Chonta
Da er kein AD verwendet wird das nicht greifen und selbst mit AD greift das mit der Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN.
(Lasse mich diesbezüglich gerne belehren)
@Pjordorf: ok danke für den Hinweis. Diese Einstellung kenne ich und weiß auch wo sie in den GPOs zu finden ist. Ich müsste aber wohl irgendwie an jedem einzelnen Notebook das durchführen, oder? Ich kann ja keine GPOs verteilen da kein AD im Einsatz.
@Chonta: Danke für den Tip. Ich würde das gerne genauso machen, so dass kein servergespeichertes Profil verwendet wird. Wie soll ich das explizit aber einstellen in dem Useraccount? Wenn ich den jeweiligen User im LDAP öffne, dann hab ich ein Feld namens "profile path" und dort steht normalerweise "\\meinpdc\profiles\maxmustermann" würde es genügen dieses Feld einfach zu leeren und der User hat somit kein servergespeichertes Profil mehr?
@Chonta: Danke für den Tip. Ich würde das gerne genauso machen, so dass kein servergespeichertes Profil verwendet wird. Wie soll ich das explizit aber einstellen in dem Useraccount? Wenn ich den jeweiligen User im LDAP öffne, dann hab ich ein Feld namens "profile path" und dort steht normalerweise "\\meinpdc\profiles\maxmustermann" würde es genügen dieses Feld einfach zu leeren und der User hat somit kein servergespeichertes Profil mehr?
Hallo,
jo \\.... mus weg, dann wird das wieder zum lokalen Profil.
Teste das ganze aber sicherhaltshalber mit nem Testbenutzer.
Jo ohne AD musst Du das dann lokal an jeder Kiste machen, und wie gesagt ich glaube nicht, das es über eine nicht Microsoftschnittstelle funktioniert.
Gruß
Chonta
jo \\.... mus weg, dann wird das wieder zum lokalen Profil.
Teste das ganze aber sicherhaltshalber mit nem Testbenutzer
.Jo ohne AD musst Du das dann lokal an jeder Kiste machen, und wie gesagt ich glaube nicht, das es über eine nicht Microsoftschnittstelle funktioniert.
Gruß
Chonta
Hallo,
Sorry. Nicht mehr dran gedacht das du es uns gesagt hattest. Dan wird es dann mit den GPOs nichts.
@Chonta,
How Group Policy Processing measures link speed?
If Z is less than 500 Kbps the connection is considered slow, otherwise it is considered fast.
Also das sollte mit jeder Art Verbindung gehen. Leider werden hierzu aber Gruppenrichtlinien benötigt.
Gruß,
Peter
http://support.microsoft.com/kb/227260
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Slow_Link_Detec ...
Sorry. Nicht mehr dran gedacht das du es uns gesagt hattest. Dan wird es dann mit den GPOs nichts.
würde es genügen dieses Feld einfach zu leeren
Das sollte reichen.@Chonta,
Erkennung der geschwindigkeit nur über die Einwahl mit MS-VPN
Das habe ich selbst noch nicht mit nicht MS VPN getestet. Ich kann dazu aber auch keine Aussage finden. Der Vorgang zur Ermittlung ob es eine langsame Verbindung ist, ist aber recht trivial und sollte nicht nur auf MS eigene Verbindungen machbar sein. AuszugHow Group Policy Processing measures link speed?
- Ping the server with 0 bytes of data and time the number of milliseconds. This value is time#1. If it is less than 10 ms, exit (assume a fast link).
- Ping the server with 2 kilobytes (KB) of uncompressible data, and time the number of milliseconds. This value is time#2. The algorithm uses a compressed .jpg file to ping the server.
- DELTA = time#2 - time#1. This removes the overhead of session setup, with the result being equal to the time to move 2 KB of data.
- Calculate Delta three times, adding to TOTAL each DELTA value. Use the following calculations:
- TOTAL/3 = Average of DELTA in milliseconds.
- 2 * (2 KB) * (1000 ms/sec) / DELTA Average ms = X
- X = (4000 KB/sec) / DELTA Average
- Z Kbps = ((4000 KB) / DELTA Average) *(8 bits/byte)
- Z Kbps = 32000 kbps/Delta Average.
If Z is less than 500 Kbps the connection is considered slow, otherwise it is considered fast.
Also das sollte mit jeder Art Verbindung gehen. Leider werden hierzu aber Gruppenrichtlinien benötigt.
Gruß,
Peter
http://support.microsoft.com/kb/227260
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Slow_Link_Detec ...
Danke euch. Ich werde das testen und berichten. Schönes Wochenende erstmal an Alle
Am saubersten wäre es, wenn die VPN VErbindung aufgebaut wird BEVOR sich der Client überhaupt am Windows anmeldet. Geht z. B. mit Cisco.
Wir bieten den Anwendern ein manuell ausführbares Skript.
Dieses Skript enthält jedoch nicht die net use Befehle, sondern dient nur dazu, NACHTRÄGLICH das DC Startskript auf dem Client nach dem Aufbau der VPN Verbindung ausführen zu lassen.
Alternativ finde ich net use mapping mit /PERSISTENT:yes nicht schlecht - dann sind die Laufwerke IMMER gemappt, und nachdem die VPN Verbindung aufgebaut ist kann der User auch gleich zugreifen auf die tollen Daten. Macht aber nur Sinn wenn sich die Laufwerke nicht ständig ändern.
Säubern kann man das aber auch einfach mit
net use * /d /yes
dann sind alle netzlaufwerke ent-mappt.
Wir bieten den Anwendern ein manuell ausführbares Skript.
Dieses Skript enthält jedoch nicht die net use Befehle, sondern dient nur dazu, NACHTRÄGLICH das DC Startskript auf dem Client nach dem Aufbau der VPN Verbindung ausführen zu lassen.
Alternativ finde ich net use mapping mit /PERSISTENT:yes nicht schlecht - dann sind die Laufwerke IMMER gemappt, und nachdem die VPN Verbindung aufgebaut ist kann der User auch gleich zugreifen auf die tollen Daten. Macht aber nur Sinn wenn sich die Laufwerke nicht ständig ändern.
Säubern kann man das aber auch einfach mit
net use * /d /yes
dann sind alle netzlaufwerke ent-mappt.
