VPN in Windows Domäne einrichten (Cisco Anyconnect)

Diese Anleitung ist für Betreiber einer Windows-Domäne an der TU Braunschweig gedacht. Wollen Sie als Benutzer VPN auf Ihrem Endgerät installieren, nutzen Sie bitte die allgemeine VPN Anleitung. Sind Sie nicht DV-Koordinator an der TU Braunschweig, sehen Sie bitte von Anfragen ab.

Betreiben Sie als DV-Koordinator oder IT-Administrator in Ihrem Institut eine Windows Domäne, so werden Sie es als wünschenswert ansehen, wenn sich Ihre mobilen Nutzer per VPN mit der Domäne verbinden können. Sie nutzen schon unseren Dienst Instituts-VPN, jedoch müssen sich Ihre mobilen Nutzer zunächst am Notebook - also lokal und nicht an der Domäne - anmelden, bevor dann eine Verbindung zum Institutsnetz per VPN möglich ist. Das ist unpraktisch und beeinträchtigt einige wichtige Funktionen für Benutzer und Client. Es wäre also notwendig, wenn sich die Benutzer beim Einloggen bereits an der Domäne anmelden könnten. Dazu ist jedoch eine bereits aufgebaute VPN-Verbindung in Ihr Instituts-VPN notwendig. Der für die allgemeine Benutzung bereitgestellte VPN-Client bietet diese Möglichkeit nicht. Die wenigsten Institute betreiben eine Windows-Domäne und die Geräte der Studierenden werden ebenfalls nicht zentral in einer solchen Domäne verwaltet.

Als Betreiber einer Windows-Domäne an Ihrem Institut an der TU Braunschweig benötigen Sie jedoch für eine besonders gut integrierte Funktion der Clients eine Möglichkeit, vor dem Einloggen der Benutzers am Computer eine VPN-Verbindung aufzubauen. Dies wird im allgemeinen als „Start Before Logon“ (SBL) bezeichnet. Das Feature Start Before Logon ermöglicht es Benutzern die VPN-Verbindung vor der eigentlichen Windows (Domänen-)Anmeldung aufzubauen. Nur so ist es möglich, sich an einer - von außen nicht erreichbaren - Windows Domäne über unseren Dienst Instituts-VPN anzumelden.

Im Folgenden wir die grundsätzliche Installation und Konfiguration beschriebnen. Die Installation ist unter Windows 7 und Windows 10 identisch. Es treten nur „optische“ Unterschiede auf.

1. "fast user switching" deaktivieren

Im ersten Schritt muss die Funktion „fast user switching“ deaktiviert werden. Hierzu öffnen Sie bitte die Gruppenrichtlinien mittels „gpedit.msc“ und navigieren unter „Computerkonfiguration“, „Administrative Vorlagen“, „System“ zu „Anmelden“. Aktivieren Sie hier den die Richtlinie „Einstiegspunkte für schnelle Benutzerumschaltung ausblenden“ und starten Sie den PC nach der Anpassung neu. Für eine Automatisierung des bebilderten Vorgehens bauen Sie sich hierfür am besten einfach eine Gruppenrichtlinie, um folgenden Eintrag in der Registry zusetzen:

  [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
  "HideFastUserSwitching"=dword:00000001

2. Installation des AnyConnect-Clients

Bei der Installation des Anyconnect-Clients wird eine zusätzliche Komponente benötigt, die in dem normalen Client nicht enthalten ist. Das jeweils aktuellste, passende Image des AnyConnect-Clients stellen wir Ihnen als DV-Koordinator bzw. Windows-Domänen-Administrator Ihres Instituts an der TU Braunschweig gern auf Anfrage an noc@tu-braunschweig.de zur Verfügung. Bitte schreiben Sie uns, dass Sie den AnyConnect für SBL-Funktionalität in Ihrer Domäne benötigen. Bitte haben Sie Verständnis, dass wir diese Komponente aus lizenzrechtlichen Gründen nur an Mitglieder bzw. Angehörige der TU Braunschweig in der Rolle DV-Koordinator herausgeben dürfen.

Bitte installieren Sie die Pakete „AnyConnect VPN“ und „AnyConnect Start Before Login“. Nach der Installation sollten Sie Ihren PC nochmals neustarten. Die Anmeldung über den VPN-Client ist nun bereits möglich.

Für eine automatisierte Verteilung innerhalb Ihrer Windows-Domäne sind dies die folgenden beiden Pakete:

  1.) anyconnect-win-4.X.XXXXX-pre-deploy-k9.msi
  2.) anyconnect-gina-win-4.X.XXXXX-pre-deploy-k9.msi

3. Anmeldung

Drücken Sie STRG+ALT+DEL um den Anmeldebildschirm zu erhalten. In diesem klicken Sie auf „Benutzer wechseln“.

Am unteren, rechten Bildschirmrand haben Sie nun (neben dem Herunterfahren-Symbol) ein weiteres Icon: Zwei Monitore mit einem Pfeil.

Nach einem Klick auf dieses Symbol startet der AnyConnect-Client. Die Nutzung ist hier identisch zur normalen AnyConnect-Version. Sofern noch nicht vorhanden tragen Sie bitte als Server „vpngate.rz.tu-bs.de“ ein und klicken auf „Connect“:

Sie können sich nun wie gewohnt bei Windows und damit z.B. an Ihrer Domäne anmelden. Den erfolgreichen VPN-Verbindungsaufbau erkennen Sie u.a. an dem Button „Trennen“ rechts unten:

3. Unterschiede zwischen Windows 7 und Windows 10

Die Anleitung und Software gilt für Windows 7 wie Windows 10 gleichermaßen. Den einzigen Unterschied stellt das unterschiedliche Design der Betriebssysteme dar:

netz/vpn/vpn_einrichten_sbl.txt · Zuletzt geändert: 2017/04/12 16:08 von pilawa
Gau-IT-Zentrum