Windows 10 - VPN-Tunnel computerseitig einrichten

tuxhunt3r
Goto Top
Tag zusammen

Ich bin dabei, in unserer Firma OpenVPN abzulösen durch das "neue" AlwaysOn-VPN von Microsoft (Nachfolger von Direct Access). RRAS- und NPS-Server laufen, das Ganze funktioniert. Wo es im Moment noch hapert ist auf der Clientseite. Folgendes Problem:

Ich habe dieses PowerShell-Script, welches mir den VPN-Tunnel auf dem Rechner ordnungsgemäss erstellt:

Wenn ich nun auf einem Notebook mit einem Benutzer einlogge, der lokale Adminrechte auf diesem Notebook hat, läuft das Script durch, der WAN Miniport Adapter in der Netzwerkumgebung wird erstellt und der Tunnel funktioniert nach einem Neustart einwandfrei.
Nun wird dieser WAN Miniport-Adapter aber nicht computerseitig erstellt. D.h. wenn sich nun ein anderer Benutzer einloggt, steht ihm dieser WAN Miniport Adapter und damit der Always On Tunnel nicht zur Verfügung. Der Tunnel ist also nur userseitig für den Benutzer verfügbar, mit dem der Tunnel erstellt wurde.

Nun bin ich hingegangen und hab mir gedacht: Kein Problem, lieber TuXHunT3R, dann machst du ein Loginscript mittels GPO, welches den Tunnel einfach erstellt. Das funktioniert auch, aber nur, wenn der Benutzer auf dem Notebook Adminrechte hat. Wenn nun ein "normaler" Benutzer dieses Script ausführt, wird der Tunnel nicht erstellt, da man zum Erstellen dieses Tunnel lokale Adminrechte braucht. Danke Microsoft, das ist ja wirklich wieder mal super gelöst.... Soviel zum Thema integrierte Lösung....

Nun habe ich verständlicherweise natürlich keine Lust, bei 150 Notebooks dem jeweiligen Benutzer Adminrechte zu geben, das Script händisch auszuführen und dem Benutzer die Adminrechte dann wieder wegzunehmen.

Hat jemand von euch eine Idee, wie man dies schlauer machen könnte? Sodass der Tunnel pro Rechner einmal erstellt wird und dann für jeden Benutzer zur Verfügung steht?

Besten Dank.


Wir setzen Windows 10 1909 Enterprise x64 ein, Update auf das Herbstupdate dieses Jahres ist geplant, sobald sich herausstellt, dass es stabil läuft. AOVPN läuft auf Windows Server 2019.

Content-Key: 613465

Url: https://administrator.de/contentid/613465

Ausgedruckt am: 13.08.2022 um 05:08 Uhr

Mitglied: 146189
Lösung 146189 16.10.2020 aktualisiert um 12:55:19 Uhr
Goto Top
Moin.
Du könntest z.B. im AD oder in einer Datei hinterlegen auf welchem Device für welche User die VPN Verbindung eingerichtet werden soll. Dann im Skript diese Daten auslesen für den jeweiligen Rechner filtern und dann die jeweiligen Usernamen mit einer For-Each-Schleife durchlaufen. Das ganze Skript dann als Computer-Startskript laufen lassen, das läuft per Default im System-Context. Da das Skript ja Impersonation zum Erstellen der User WMI-Profile nutzt ist es kein Problem wenn es im System-Kontext läuft, die Usernamen die das VPN nutzen sollen hast du ja dann schon aus der Datei oder dem AD ausgelesen.
Somit steht dann nach dem Login die VPN Verbindung für jeden User zur Verfügung den du definiert hast.

Gruß w.

Danke Microsoft, das ist ja wirklich wieder mal super gelöst.... Soviel zum Thema integrierte Lösung....
Die wollen den Leuten halt den ConfigMgr / Cloud-Gedöhns und MDMs andrehen. Siehe
https://github.com/MicrosoftDocs/windowsserverdocs/blob/master/WindowsSe ...
Mitglied: TuXHunt3R
TuXHunt3R 11.11.2020 aktualisiert um 19:02:08 Uhr
Goto Top
Sei gegrüsst face-smile

Besten Dank für die Antwort. In der Zwischenzeit habe ich es so gemacht:
Meine Lehrlinge sind in der Firma rumgelaufen, haben dem entsprechenden Benutzer vom entsprechenden Notebook Adminrechte gegeben, diesen Benutzer erneut einloggen lassen, das Powershell-Script zum Erstellen des Tunnels ausgeführt und den Rechner dann gebootet (damit mein Shutdown-Script die Adminrechte wieder rausnimmt). Es war aufgrund der zweiten Corona-Welle und dem erneuten Verkriechen ins Homeoffice Eile geboten, ich konnte nicht mehr ewig und 3 Tage nach einer Lösung suchen. Irgendwann, in 100 Jahren, in einer weit weit entfernten Galaxis, wenn ich dann mal Zeit habe, werde ich mal mit dem Ausführen als System-User experimentieren, evt. bringt das eine Lösung. Ich schliess die Frage, wenn ich es hinkriege, stelle ich hier eine Anleitung rein. Besten Dank schon mal.