none
SSL-VPN(AnyConnect)とActiveDirectory(gpo)について RRS feed

  • 質問

  • Windows10(1803:64Bit)+CISCO(AnyConnect)にてActiveDirectoryにログインしているのですが、
    LDAP認証は成功(キャッシュを無効化)しておりますが、GPOの適用がごく稀に適用(ログオンスクリプトやGPOに
    デバイス設定をしている)できるレベルで殆ど適用されない事象になっております。
    ※ログイン後、しばらく放置して「GPUPDATE /FORCE」を行うとGPOのデバイスに設定している
     ネットワークドライブが適用されエクスプローラに表示されます。

    LDAP認証とGPOの適用タイミングが同時タイミングでは無いと思いますが、
    ログイン時にGPOを適用するタイミングをずらす事は実際に可能なのでしょうか?
    そもそも、VPN接続した状態でActiveDirectory(認証+GPO)の接続は業務上難しいのか。
    ご教授頂けますと幸いです。

    ※GPOで、ネットワーク接続を待って。などの設定をしておりますが
     成果がなく原因が不明のため、調査方法などございましたら合わせてご教授頂けますと幸いです。

    2019年7月22日 6:39

すべての返信

  • こんにちは。フォーラムオペレーターのFanです。

    フォーラムにご投稿くださいましてありがとうございます。

    問題のスクリーンショット等、詳細な状況を共有いただくことで他のユーザー様よりのご意見が集まりやすくなります。

     

    同じ問題を抱えている方と経験がある方、ご意見を共有頂ければ本当に有難いです.

     

    どうぞよろしくお願いいたします。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月24日 1:48
    モデレータ
  • チャブーンです。

    この件ですが、現在のWindowsの仕様として「ポイントtoサイト」となる端末対ネットワークのVPN接続では、ひとつの方法を除いて、グループポリシーをログオン時に適用する方法はないと理解しています。その方法とは「DirectAccess」であり、DirectAccessではGPOのログオン適用は前提として実装されています。

    ですが、DirectAccessはディスコン(discontinued)のソリューションで今後の廃止が予定されている(Windows Server 2019ではまだ使えるようですが)こと、Windows クライアント OSが「Enterprise」エディションでないと利用できないといった制約があります。喫緊でなんとかしたいということならDirectAccessを使う手はありますが、一般には拠点等に「VPNルーター」を配置して、クライアントのログオンに関わらず最初から「VPN常時接続」にしておくほうが、簡単かと思います。どちらもだめなら、サードパーティの製品を検討するしかないと思います。

    ちなみに「ログオン時にグループポリシーの適用をずらず」という設定はありません。例外的に「ログオンスクリプト」だけは最近のWindowsでは「ログオン後5分後に実行」されるようになっており、この機能の有無や時間調整はグループポリシーで可能です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月24日 2:35
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます

     

    チャブーンさんから寄せられた投稿はお役に立ちましたか。

     

    参考になった投稿には「回答としてマーク」をご設定ください

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 回答としてマーク it_123 2019年7月29日 10:17
    • 回答としてマークされていない it_123 2019年7月30日 0:06
    2019年7月29日 8:12
    モデレータ
  • チャブーン様

    ご回答ありがとうございました。
    VPNに関してはログオン前(CTRL+ALT+DEL)に、VPN接続を確立してからログイン(ドメイン)しており、
    rsop.mscにてポリシー適用の結果を確認しております。

    GPOは「ユーザーの構成」-「Windowsの設定」-「スクリプト」-「ログオン」に
    定義しているスクリプト(ネットワークドライブの設定とショートカットの設定など)が実行されない。
    結果となっていました。
    #スクリプト(VBS)にMSGBOXを入れて結果確認をしてみましたが、
     MSGBOXが表示される場合と、されない場合(実行された場合は、rsop.mscでも表示されています)
     も確認がとれています。
    さらに、スクリプトはネットワークドライブを生成するコマンドでしたので
    GPOのドライブマップを設定して同様に確認したところ、こちらについても成功OR失敗(失敗の方が多い)
    になりました。

    上記のことからログオン前にVPN接続は確立できていると思われますが、
    結果的にログイン時にGPOが適用されない状況になっております。

    ⇒ログオンからGPO適用までのトレースログ的なものが取得できれば、調査に役立つと思いますので
     調査に必要な情報採取方法などございましたらご教授頂きたいと思います。
    2019年7月30日 0:26
  • チャブーンです。

    まず、グループポリシーの適用に関する「グローバルデザイン」ですが、高速LAN環境ではフルスペックで適用し、低速WANやVPNでは必要最小限の適用というモデルです。グループポリシー適用には一般に時間がかかるため、こういうモデルになっています。ログオンスクリプトは低速環境では適用されなかったと思います。

    低速WANやVPNを検出する方法として、「低速リンクの検出」という機能がありグループポリシーでこれを制御できます。「グループポリシーの低速リンクの検出を構成する」で適切な接続速度を構成し、VPN接続を高速ネットワークの扱いにしててください。

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.GroupPolicy::GPTransferRate_2&Language=ja-jp

    なお、クライアントのグループポリシー適用状況は、イベントログ「GroupPolicy」-「Operational」に記載されますので、そこで詳細確認できるでしょう。

    http://azuread.net/2009/10/01/%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88%E3%83%93%E3%83%A5%E3%83%BC%E3%82%A2%E3%81%8B%E3%82%89%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC%E3%81%AE%E3%83%88%E3%83%A9%E3%83%96-2/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2019年7月30日 8:25
    モデレータ
  • フォーラムにご投稿くださいましてありがとうございます

    後から検索で回答を探しやすくなるため、参考になった回答には [回答としてマーク] をお願いします。

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 5:11
    モデレータ