Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
netz:vpn:vpn_einrichten_sbl [2019/09/10 13:31] flohaake [3. Anmeldung] |
netz:vpn:vpn_einrichten_sbl [2022/03/28 15:04] (aktuell) minbecir |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ====== VPN in Windows Domäne einrichten (Cisco Anyconnect) ====== | + | ====== VPN in Windows Domäne einrichten (Cisco AnyConnect) ====== |
| <note important>Diese Anleitung ist für Betreiber einer Windows-Domäne an der TU Braunschweig gedacht. Wollen Sie als Benutzer VPN auf Ihrem Endgerät installieren, nutzen Sie bitte die [[netz:vpn:vpn_einrichten|allgemeine VPN Anleitung]]. Sind Sie nicht DV-Koordinator an der TU Braunschweig, sehen Sie bitte von Anfragen ab.</note> | <note important>Diese Anleitung ist für Betreiber einer Windows-Domäne an der TU Braunschweig gedacht. Wollen Sie als Benutzer VPN auf Ihrem Endgerät installieren, nutzen Sie bitte die [[netz:vpn:vpn_einrichten|allgemeine VPN Anleitung]]. Sind Sie nicht DV-Koordinator an der TU Braunschweig, sehen Sie bitte von Anfragen ab.</note> | ||
| Betreiben Sie als DV-Koordinator oder IT-Administrator in Ihrem Institut eine Windows Domäne, so werden Sie es als wünschenswert ansehen, wenn sich Ihre mobilen Nutzer per VPN mit der Domäne verbinden können. Sie nutzen schon unseren Dienst Instituts-VPN, jedoch müssen sich Ihre mobilen Nutzer zunächst am Notebook - also lokal und nicht an der Domäne - anmelden, bevor dann eine Verbindung zum Institutsnetz per VPN möglich ist. Das ist unpraktisch und beeinträchtigt einige wichtige Funktionen für Benutzer und Client. Es wäre also notwendig, wenn sich die Benutzer beim Einloggen bereits an der Domäne anmelden könnten. Dazu ist jedoch eine bereits aufgebaute VPN-Verbindung in Ihr Instituts-VPN notwendig. Der für die allgemeine Benutzung bereitgestellte VPN-Client bietet diese Möglichkeit nicht. Die wenigsten Institute betreiben eine Windows-Domäne und die Geräte der Studierenden werden ebenfalls nicht zentral in einer solchen Domäne verwaltet. | Betreiben Sie als DV-Koordinator oder IT-Administrator in Ihrem Institut eine Windows Domäne, so werden Sie es als wünschenswert ansehen, wenn sich Ihre mobilen Nutzer per VPN mit der Domäne verbinden können. Sie nutzen schon unseren Dienst Instituts-VPN, jedoch müssen sich Ihre mobilen Nutzer zunächst am Notebook - also lokal und nicht an der Domäne - anmelden, bevor dann eine Verbindung zum Institutsnetz per VPN möglich ist. Das ist unpraktisch und beeinträchtigt einige wichtige Funktionen für Benutzer und Client. Es wäre also notwendig, wenn sich die Benutzer beim Einloggen bereits an der Domäne anmelden könnten. Dazu ist jedoch eine bereits aufgebaute VPN-Verbindung in Ihr Instituts-VPN notwendig. Der für die allgemeine Benutzung bereitgestellte VPN-Client bietet diese Möglichkeit nicht. Die wenigsten Institute betreiben eine Windows-Domäne und die Geräte der Studierenden werden ebenfalls nicht zentral in einer solchen Domäne verwaltet. | ||
| - | Als Betreiber einer Windows-Domäne an Ihrem Institut an der TU Braunschweig benötigen Sie jedoch für eine besonders gut integrierte Funktion der Clients eine Möglichkeit, vor dem Einloggen der Benutzers am Computer eine VPN-Verbindung aufzubauen. Dies wird im allgemeinen als "Start Before Logon" (SBL) bezeichnet. Das Feature Start Before Logon ermöglicht es Benutzern die VPN-Verbindung vor der eigentlichen Windows (Domänen-)Anmeldung aufzubauen. Nur so ist es möglich, sich an einer - von außen nicht erreichbaren - Windows Domäne über unseren Dienst Instituts-VPN anzumelden. | + | Als Betreiber einer Windows-Domäne an Ihrem Institut an der TU Braunschweig benötigen Sie jedoch für eine besonders gut integrierte Funktion der Clients eine Möglichkeit, vor dem Einloggen des Benutzers am Computer eine VPN-Verbindung aufzubauen. Dies wird im Allgemeinen als "Start Before Logon" (SBL) bezeichnet. Das Feature SBL ermöglicht es Benutzern die VPN-Verbindung vor der eigentlichen Windows (Domänen-)Anmeldung aufzubauen. Nur so ist es möglich, sich an einer - von außen nicht erreichbaren - Windows Domäne über unseren Dienst Instituts-VPN anzumelden. |
| - | Im Folgenden wir die grundsätzliche Installation und Konfiguration beschriebnen. Die Installation ist unter Windows 7 und Windows 10 identisch. Es treten nur "optische" Unterschiede auf. | + | Im Folgenden wird die grundsätzliche Installation und Konfiguration beschrieben. Die Installation ist unter Windows 7 und Windows 10 identisch. Es treten nur "optische" Unterschiede auf. |
| - | ===== 1. "fast user switching" deaktivieren ===== | + | ===== 1. "Fast User Switching" deaktivieren ===== |
| - | Fast User Switching muss im Fall von Windows 7 dekativiert werden. Windows 10 Nutzer können nach unserern Erfahrungen diesen Schritt überspringen. Im ersten Schritt muss die Funktion "fast user switching" deaktiviert werden. Hierzu öffnen Sie bitte die Gruppenrichtlinien mittels "gpedit.msc" und navigieren unter "Computerkonfiguration", "Administrative Vorlagen", "System" zu "Anmelden". Aktivieren Sie hier den die Richtlinie "Einstiegspunkte für schnelle Benutzerumschaltung ausblenden" und starten Sie den PC nach der Anpassung neu. | + | Die Funktion “Fast User Switching” muss im Fall von Windows 7 deaktiviert werden. Windows 10 Nutzende können nach unseren Erfahrungen diesen Schritt überspringen. Im ersten Schritt muss die Funktion "fast user switching" deaktiviert werden. Um die Funktion zu deaktivieren, öffnen Sie bitte hierzu die Gruppenrichtlinien mittels "gpedit.msc" und navigieren unter "Computerkonfiguration", "Administrative Vorlagen", "System" zu "Anmelden". Aktivieren Sie hier die Richtlinie "Einstiegspunkte für schnelle Benutzerumschaltung ausblenden" und starten Sie den PC nach der Anpassung neu. |
| - | Für eine Automatisierung des bebilderten Vorgehens bauen Sie sich hierfür am besten einfach eine Gruppenrichtlinie, um folgenden Eintrag in der Registry zusetzen: | + | Für eine Automatisierung des bebilderten Vorgehens bauen Sie sich hierfür am besten einfach eine Gruppenrichtlinie, um folgenden Eintrag in der Registry zu setzen: |
| <code> | <code> | ||
| Zeile 17: | Zeile 17: | ||
| ===== 2. Installation des AnyConnect-Clients ===== | ===== 2. Installation des AnyConnect-Clients ===== | ||
| - | Bei der Installation des Anyconnect-Clients wird eine zusätzliche Komponente benötigt, die in dem normalen Client nicht enthalten ist. Das jeweils aktuellste, passende Image des AnyConnect-Clients stellen wir Ihnen als **DV-Koordinator bzw. Windows-Domänen-Administrator Ihres Instituts an der TU Braunschweig** gern auf Anfrage an noc@tu-braunschweig.de zur Verfügung. Bitte schreiben Sie uns, dass Sie den AnyConnect für SBL-Funktionalität in Ihrer Domäne benötigen. Bitte haben Sie Verständnis, dass wir diese Komponente aus lizenzrechtlichen Gründen nur an Mitglieder bzw. Angehörige der TU Braunschweig in der Rolle DV-Koordinator herausgeben dürfen. | + | Bei der Installation des AnyConnect-Clients wird eine zusätzliche Komponente benötigt, die in dem normalen Client nicht enthalten ist. Das jeweils aktuellste, passende Image des AnyConnect-Clients stellen wir Ihnen als **DV-Koordinator bzw. Windows-Domänen-Administrator Ihres Instituts an der TU Braunschweig** gern auf Anfrage an noc@tu-braunschweig.de zur Verfügung. Bitte schreiben Sie uns, dass Sie den AnyConnect für SBL-Funktionalität in Ihrer Domäne benötigen. Bitte haben Sie Verständnis, dass wir diese Komponente aus lizenzrechtlichen Gründen nur an Mitglieder bzw. Angehörige der TU Braunschweig in der Rolle DV-Koordinator herausgeben dürfen. |
| - | Bitte installieren Sie die folgenden beiden Pakete. Diese verwenden Sie auch für eine automatische Verteilung innerhalb Ihrer Windows-Domäne. Nach der Installation sollten Sie Ihren PC nochmals neustarten. Die Anmeldung über den VPN-Client ist nun bereits möglich. | + | Bitte installieren Sie die folgenden beiden Pakete. Diese verwenden Sie auch für eine automatische Verteilung innerhalb Ihrer Windows-Domäne. Nach der Installation sollten Sie Ihren PC nochmals neu starten. Die Anmeldung über den VPN-Client ist nun bereits möglich. |
| <code> | <code> | ||
