Always On VPN – Verwaltung der Zertifikate

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. In diesem Teil werde ich die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfigurieren, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellen.

Computer- und Benutzerzertifikate mittels GPOs automatisch ausrollen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management starten
  3. Group Policy Management\Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
  5. New GPO
    1. Name: Autoregistrierung Computerzertifikat > OK
  6. Autoregistrierung Computerzertifikat rechts anklicken > Edit…
  7. Group Policy Management Editor
    1. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
      4. Fenster schließen
  8. Die OU Einfaches-Netzwerk\Arbeitsstationen rechts anklicken > Link an Existing GPO…
  9. Select GPO
    1. Autoregistrierung Computerzertifikat auswählen > OK
  10. Autoregistrierung Computerzertifikat markieren
  11. Im Detailbereich auf den Reiter Details wechseln
  12. GPO Status: User configuration settings disabled
  13. Group Policy Objects rechts anklicken > New
  14. New GPO
    1. Name: Autoregistrierung VPN Benutzerzertifikat > OK
  15. Autoregistrierung VPN Benutzerzertifikat rechts anklicken > Edit…
  16. Group Policy Management Editor
    1. User Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
  17. Fenster schließen
  18. Dieses Gruppenrichtlinienobjekt mit der OU Benutzer verknüpfen
  19. GPO Status: Computer configuration settings disabled
  20. Group Policy Management schließen

Weiterlesen

AlwaysOn VPN – Überblick

AlwaysOn VPN

Microsoft hat die Entwicklung von DirectAccess eingestellt und bevorzug die Verwendung von Windows 10 AlwaysOn VPN für Zugriffe auf das Firmennetzwerk von Unterwegs. Eine Empfehlung zum Wechsel zu AlwaysOn VPN gibt es hier: DirectAccess network performance in Windows. AlwaysOn VPN hat DirectAccess gegenüber ettliche Vorteile und meiner Meinung nach nur einen Nachteil, der eigentlich keiner mehr ist: Es funktioniert nur mit Windows 10. Spätestens Anfang 2020 sollte das aber kein Thema mehr sein. Siehe hier:

Infrastruktur

Weiterlesen

Microsoft MDT Build 6.3.8443.1000 steht ab sofort zur Verfügung

Ab sofort steht das Microsoft MDT Build 6.3.8443.1000 zur Verfügung. Das Tool kann auf der Seite Microsoft Deployment Toolkit (MDT) für x86 und x64 heruntergeladen werden. Das sind die Verbesserungen lt. Aaron Czechowski [Microsoft]:

  • Supported configuration updates
    • Windows ADK for Windows 10, version 1607
    • Windows 10, version 1607
    • Windows Server 2016
    • Configuration Manager, version 1606
  • Quality updates
    • Deployment Wizard scaling on high DPI devices
    • Johan’s „uber bug“ for computer replace scenario
    • Multiple fixes for the Windows 10 in-place upgrade scenario
    • Several fixes to Configure ADDS step
    • Removed imagex/ocsetup dependencies, rely solely on DISM
    • Includes the latest Configuration Manager task sequence binaries (version 1606)

Der Download-Link ist auch auf meiner Microsoft Download-Seite zu finden.

mdt8443