none
Aktualisierung der Computerrichtlinie nach Anmeldung über VPN Client RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bei einer Anmeldung über VPN aktualisieren die Client Rechner nur die Benutzerrichtlinie, jedoch nicht die Computerrichtlinie. Hier die Details:

    VPN Server: Windows 2008 R2

    Domain Server: Windows 2008 R2

    Client: Windows 7 Ultimate

    Der Client verwendet die Option "Netzwerkanmeldung" um sich an der Domäne anzumelden. Der VPN Typ ist L2TP/IPSec mit EAP über Smartcard. Der Client kann den DC über das Netzwerk erreichen (Ping, RDP, \\DC\Freigabe). Bei dem Versuch die Gruppenrichtlinien über gpupdate zu aktualisieren bekomme ich jedoch einen Fehler. Die aktualisierung der Benutzerrichtlinie ist noch erfolgreich. Bei der Computerrichtlinie erscheint jedoch folgender Fehler:

    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch die Datei \\domainname\sysvol\domainname\Policies\{31B2F340...}\gpt.ini von einem Domänencontroller zu lesen, war nicht erfolgreich. Der angegebene Pfad kann jedoch über den Explorer erreicht werden.

    Der Befehl "gpresult /SCOPE COMPUTER" meldet: "Der Vorgang erfordert eine Smartcard. Es befindet sich jedoch keine Smartcard im Gerät". Im Eventlog taucht folgender Fehler auf: "Fehler beim Signieren einer Nachricht mithilfe der eingelegten Smartcard: Es ist keine weitere Kommunikation möglich, da die Smartcard entfernt wurde." Die Smartcard wurde nicht entfernt. Es handelt sich um einen Aladdin eToken Pro 72k. Der Befehl "gpresult /SCOPE USER" meldet keine Fehler.

    Bin für jeden Tipp dankbar.

     

    Donnerstag, 17. Februar 2011 16:37
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn du im LAN bist, werden die Richtlinien sauber ausgeführt ?

    Für den Computer-Teil der Richtlinie wird geprüft, ob das Computerkonto berechtigit ist, die Richtlinie auszuführen .... Das Computerkonto kann sich aber nicht anmelden.

     

    Meiner Meinung nach ist ein "standard-VPN" nicht zuverlässig, um Gruppenrichtlinien durchzusetzen. Beschäftige dich mal mit dem Thema "Direct Access" ...
    http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx

     

    Viele Grüße Carsten
    Freitag, 18. Februar 2011 11:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 18.02.2011 12:19, schrieb Wolverine74:

    Meiner Meinung nach ist ein "standard-VPN" nicht zuverlässig, um
    Gruppenrichtlinien durchzusetzen.

    Doch das passt prima, du hast nur 2 Pobleme und dadurch geändertes
    Verhalten in den Richtlinien:
    - Bei erkanntem SlowLink sind per Design viele CSE abgeschaltet.
    - Die VPN Verbindung wird als "Background" Prozess eingestuft
      (Ausnahme: Anmelden über DFÜ Netzwerk) und dann sich auch div.
      CSE per Default deaktiviert

    Mögliche SlowLink Probleme hast du auch bei DA, aber zumindest dort
    immer einen Foreground Process.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 18. Februar 2011 11:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.02.2011 17:37, schrieb PoIIe:

    Der VPN Typ ist L2TP/IPSec mit EAP über Smartcard

    gehts ohne Smartcard?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 18. Februar 2011 11:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.02.2011 17:37, schrieb PoIIe:

    Der VPN Typ ist L2TP/IPSec mit EAP über Smartcard

    Hast du mal hier durch geschaut?
    http://blogs.msdn.com/b/shivaram/archive/2007/02/26/smart-card-related-group-policy-settings-in-vista.aspx

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 18. Februar 2011 12:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    im LAN werden alle Richtlinien sauber ausgeführt.

    Mit dem Thema Direct Access habe ich mich bereits beschäftigt. Ist aber zur Zeit leider keine Alternative auch wenn es die schönste Lösung ist.

    Gruß,

    Sven

    Freitag, 18. Februar 2011 13:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich komme bis zum 28.02. leider nicht mehr zum Testen :-(

    Werde es aber gleich am 28.02. ausprobieren und mich melden.

     

    Gruß,
    Sven

    Freitag, 18. Februar 2011 13:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Habe mir den Link angeschaut. Finde dort jedoch keine relevanten Informationen, die mir bei dem beschriebenen Problem helfen könnten.
    Freitag, 18. Februar 2011 13:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe heute zum Testen "geschütztes EAP" verwendet. Mit dieser Einstellung funktioniert die Aktualisierung der Computerrichtlinie.

    Für mich stellt sich jetzt die Frage, ob es generell ein Problem mit der Aktualisierung von Computerrichtlinie gibt, wenn man als EAP Typ „Smartcard oder anderes Zertifikat“ verwendet.  Sonst muss das Problem ja bei dem verwendeten Aladdin eToken Pro 72k liegen.

    Montag, 28. Februar 2011 13:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 28.02.2011 14:31, schrieb PoIIe:

    „Smartcard oder anderes Zertifikat“ verwendet.

    Bei Zertifikat wäre es jetzt etwas leichter, denn das könnte man in den
    "eigenen Zertifikaten" des Computer sehen und testen.

    Ich habe keine Ahnung, ob der fehler nicht auch an der Hardware liegt
    und ob Aladin da den Context richtig zuordnet.
    Hast du evtl einen anderen Token (andere Hersteller)?

    Beispiel, aus der MS DFÜ Verbindung:
    Wenn du einen anderen User Account zur Einwahl verwendest, als deinen
    aktuell angemeldeten, dann kannst du nach erfolgreicher Einwahl nicht
    mehr auf deine Ressourcen zugreifen, denn MS verwendet den User, der
    die Verbindung aufgebaut hat für den ZUgriff ...

    In der DFÜ Konfig kannst du das korrigieren und "UseRasCredentials=0"
    setzen.

    Die Frage ist also:
    - wer startet bei dir die Verbindung?
    - wem gehört der Token?
    - ist das der Computer Account, der auch im AD geplflegt wird?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 28. Februar 2011 14:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    ich verwende die Funktion "Netzwerkanmeldung". Dabei wird die VPN Verbindung direkt bei der Anmeldung hergestellt. Der Benutzer wird anhand des Zertifikats auf dem Token ermittelt. Das Zertifikat gehört zu einem Benutzer Account in der Domäne.

    Leider habe ich zur Zeit keinen anderen Token zur Verfügung.

    Gruß,
    Sven

    Montag, 28. Februar 2011 14:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 28.02.2011 15:51, schrieb PoIIe:

    Der Benutzer wird anhand des Zertifikats auf dem Token ermittelt.

    ... der schon, aber der COmputer ist wohl nicht mehr authentifiziert,
    denn deine Computer Konfig ist ja die, die den Fehler aht, nicht die
    des Users.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 28. Februar 2011 15:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Das kann sehr gut sein. Ich frage mich nur, warum nach dem Befehl "gpresult /SCOPE COMPUTER" im Eventlog eine Meldung über eine fehlende Smartcard erscheint. Der Computer wird doch über das Computer Zertifikat authentifiziert und bleibt es hoffentlich auch, solange die VPN Verbindung besteht. Das Computer Zertifikat befindet sich ja nicht auf der Smartcard, sondern im Zertifikatsspeicher des Computers.

    Gruss und Dank,

    Sven

    Dienstag, 1. März 2011 08:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 01.03.2011 09:57, schrieb PoIIe:

    [...] im Eventlog eine Meldung über eine fehlende Smartcard
    erscheint. [...] Das Computer Zertifikat befindet sich ja nicht auf
    der Smartcard, sondern im Zertifikatsspeicher des Computers.

    Eben. Falscher Speicherort? Das des Benutzers ist auf der Karte, das
    des Computers aber nicht, daran kollidiert es wohl, scheinbar kann er
    nur eine der beiden Methoden, entweder im Store oder auf der Karte.

    Ich fürchte, du brauchst einen Support Call bei MS.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 1. März 2011 09:49
    |