Always On VPN – Verwaltung der Zertifikate

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. In diesem Teil werde ich die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfigurieren, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellen.

Computer- und Benutzerzertifikate mittels GPOs automatisch ausrollen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management starten
  3. Group Policy Management\Forest\Domains\intern.einfaches-netzwerk.at erweitern
  4. Group Policy Objects rechts anklicken > New
  5. New GPO
    1. Name: Autoregistrierung Computerzertifikat > OK
  6. Autoregistrierung Computerzertifikat rechts anklicken > Edit…
  7. Group Policy Management Editor
    1. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
      4. Fenster schließen
  8. Die OU Einfaches-Netzwerk\Arbeitsstationen rechts anklicken > Link an Existing GPO…
  9. Select GPO
    1. Autoregistrierung Computerzertifikat auswählen > OK
  10. Autoregistrierung Computerzertifikat markieren
  11. Im Detailbereich auf den Reiter Details wechseln
  12. GPO Status: User configuration settings disabled
  13. Group Policy Objects rechts anklicken > New
  14. New GPO
    1. Name: Autoregistrierung VPN Benutzerzertifikat > OK
  15. Autoregistrierung VPN Benutzerzertifikat rechts anklicken > Edit…
  16. Group Policy Management Editor
    1. User Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
    2. Certificate Services Client – Auto-Enrollment doppelklicken
    3. Certificate Services Client – Auto-Enrollment Properties
      1. Configuration Model: Enabled
      2. Renew expired certificates… > aktivieren
      3. Update certificates… > aktivieren > OK
  17. Fenster schließen
  18. Dieses Gruppenrichtlinienobjekt mit der OU Benutzer verknüpfen
  19. GPO Status: Computer configuration settings disabled
  20. Group Policy Management schließen

Weiterlesen

MS16-072: Security update for Group Policy: June 14, 2016

Microsoft hat das Update MS16-072: Security update for Group Policy: June 14, 2016 (KB3163622) veröffentlicht. Damit wird eine Sicherheitslücke geschlossen, welche eine man-in-the-middle-Attacke ermöglicht. Nach der Installation von MS16-072 werden Benutzergruppenrichtlinien nicht mehr im Benutzerkontext sondern im Computerkontext übernommen. Damit Gruppenrichtlinien, die mit Sicherheitsgruppen oder Benutzerkonten gefiltert werden weiterhin funktionieren, muss die Gruppe der Authentifizierten Benutzer das Leserecht auf die Gruppenrichtlinie behalten.

Gruppenrichtlinienobjekt für eine bestimmte Gruppe konfigurieren

  1. Gewünschte Sicherheitsgruppe erstellen
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Auf der linken Seite das gewünschte Gruppenrichtlinienobjekt markieren
  5. Auf der rechten Seite im Bereich Security Filtering auf Add… klicken
  6. Die gewünschte Gruppe hinzufügen
    GPOFiltering-002
  7. Auf der rechten Seite auf den Reiter Delegation wechseln > Advanced…
    GPOFiltering-003
  8. Authenticated Users markieren
  9. Das Häkchen bei Apply group policy entfernen
    GPOFiltering-004
  10. Fenster mit OK schließen
    GPOFiltering-005
  11. Gruppenrichtlinienobjekt mit der gewünschten OU verknüpfen

Siehe meinen Beitrag Filtern von Gruppenrichtlinien der Reihe „Ein einfaches Netzwerk“.

Teil 13c: Windows 10 Upgrade mit WSUS

In diesem Teil werde ich das Windows 10 Upgrade mit WSUS konfigurieren. Zuerst muss das Upgrade mittels Registry-Key „erlaubt“ werden. Im Anschluss wird das Upgrade in der WSUS-Konsole approved und los geht’s. Voraussetzung sind die Kurzmitteilungen WSUS für Windows 10 Feature-Upgrades und WSUS-Update KB3159706. Empfehlenswert sind die Kapitel Teil 2: Grundlagen der Gruppenrichtlinien und Teil 6: Windows Server Update Services vorbereiten.

Gruppenrichtlinienobjekt konfigurieren

WMI Filter für Windows 7 Clients erstellen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern erweitern
  4. WMI Filters rechts anklicken > New…
  5. New WMI Filter
    1. Name: Windows 7 Clients
    2. Queries > Add
      1. Namespace: root\cimv2
      2. Query:
        SELECT * FROM Win32_ComputerSystem WHERE Version LIKE "6.1%" AND ProductType = "1"
    3. Fenster mit OK schließen
      WSUS_Upgrade-008
  6. Fenster mit Save schließen
    WSUS_Upgrade-009

Gruppenrichtlinienobjekt erstellen

  1. Group Policy Objects rechts anklicken > New
  2. New GPO
    1. Name: Allow Windows 10 Upgrade > OK
  3. Allow Windows 10 Upgrade rechts anklicken > Edit…
  4. Computer Configuration\Preferences\Windows Settings erweitern
  5. Registry rechts anklicken > New > Registry Item
    WSUS_Upgrade-032
  6. New Registry Properties
    1. Action: Update
    2. Hive: HKEY_LOCAL_MACHINE
    3. Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade
    4. Value name: AllowOSUpgrade
    5. Value type: REG_DWORD
    6. Value data: 1
      1. Base: Decimal
        WSUS_Upgrade-010
  7. Fenster mit OK schließen

Gruppenrichtlinienobjekt filtern und verknüpfen

  1. Im Detailbereich unter WMI Filtering den folgenden Filter anwenden
    1. Windows 7 Clients
      WSUS_Upgrade-011
  2. Auf den Reiter Details wechseln
  3. GPO Status: User configuration settings disabled
    WSUS_Upgrade-012
  4. Das GPO mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
  5. Link Order ganz nach oben verschieben
    WSUS_Upgrade-013
  6. Fenster schließen

Das Windows 10 Upgrade in der WSUS-Konsole genehmigen

  1. Als Administrator an WSUS01 anmelden
  2. Server Manager > Tools > Windows Server Update Services
  3. WSUS01\Updates\All Updates markieren
  4. Action > New Update View…
    WSUS_Upgrade-001
  5. Folgenden Update View erstellen
    1. Classification: Upgrade
    2. Name: Upgrades > OK
      WSUS_Upgrade-002
  6. Im Detailbereich folgenden Filter anwenden
    1. Approval: Any
    2. Status: Needed > Refresh
      WSUS_Upgrade-003
  7. Das Upgrade in der Ergebnisliste rechts anklicken > Approve…
    WSUS_Upgrade-004
  8. Approve Updates
    1. Arbeitsstationen anklicken > Approved for Install > OK
      WSUS_Upgrade-005
  9. Fenster mit OK schließen
  10. Lizenzen zustimmen
  11. Approval Progress > Close
    WSUS_Upgrade-006
  12. WSUS01 markieren
  13. Das Upgrade wird heruntergeladen
    WSUS_Upgrade-007
  14. Fenster schließen

Windows 10 Upgrade mit WSUS anwenden

  1. Als USER1 an CLIENT03 anmelden
  2. Start > CMD > Als Administrator ausführen
  3. Mit folgenden Befehl die Übernahme der Gruppenrichtlinie überprüfen
    gpresult /R /Scope:Computer /User:INTERN\USER1

    WSUS_Upgrade-015

  4. Die Richtlinie wurde übernommen
  5. Start > Regedit
  6. Den Registry-Key überprüfen
    WSUS_Upgrade-014
  7. Der Registry-Key wurde erstellt
  8. Systemsteuerung\System und Sicherheit\Windows Update
  9. Nach Updates suchen
    WSUS_Upgrade-016
  10. Auf Erste Schritte klicken
    WSUS_Upgrade-017
    WSUS_Upgrade-018
  11. Im Logfile des IIS am WSUS01-Server kann man den Download der esd-Datei beobachten
    WSUS_Upgrade-019
  12. Das Setup von Windows 10 erstellt den versteckten lokalen Ordner C:\$Windows.~BT
    WSUS_Upgrade-020
  13. Im Odner C:\$Windows.~BT\Sources\Panther befinden sich die Dateien setupact.txt und setuperr.txt, welche für die Problembehandlung wichtig sein können
    WSUS_Upgrade-021
  14. Windows Update > Annehmen > Jetzt neu starten
    WSUS_Upgrade-023
    WSUS_Upgrade-024 class=“alignnone size-full wp-image-8200″ src=“https://www.einfaches-netzwerk.at/blog/wp-content/uploads/2016/07/WSUS_Upgrade-025.png“ alt=“WSUS_Upgrade-025″ width=“1024″ height=“768″ />
  15. Der Rechner wird neu gestartet
    WSUS_Upgrade-026
  16. Die Dateien werden kopiert
    WSUS_Upgrade-027
  17. Features und Treiber werden installiert
    WSUS_Upgrade-028
  18. Einstellungen werden konfiguriert
    WSUS_Upgrade-029
  19. Weiter
    WSUS_Upgrade-030
  20. Anmelden
    WSUS_Upgrade-031
  21. Fertig
    WSUS_Upgrade-033

Funktioniert auch. Mir persönlich gefällt die Variante mit MDT um vieles besser, weil einfach mehr Möglichkeiten zur Verfügung stehen.