AlwaysON VPN vor der Windows-Anmeldung (früher Always On Service)
Die Funktion AlwaysON VPN vor der Windows-Anmeldung (früher Always On Service) ermöglicht es einem Benutzer, einen VPN-Tunnel auf Maschinenebene einzurichten, noch bevor sich ein Benutzer bei einem Windows-System anmeldet. Der Tunnel bleibt aktiv, bis die Maschine herunterfährt. Nachdem sich der Benutzer angemeldet hat, wird der VPN-Tunnel auf Computerebene von einem VPN-Tunnel auf Benutzerebene übernommen. Nachdem sich der Benutzer abmeldet, wird der Tunnel auf Benutzerebene zerrissen und ein Tunnel auf Maschinenebene eingerichtet. Always On VPN vor der Windows-Anmeldung kann nur mithilfe erweiterter Authentifizierungsrichtlinien konfiguriert werden. Einzelheiten finden Sie unter Konfigurieren von Always On VPN vor der Windows-Anmeldung.
Immer im VPN vor Windows-Anmeldefunktionen
- Der Administrator kann Benutzern, die zum ersten Mal remote arbeiten, ein Einmalkennwort geben, mit dem Benutzer eine Verbindung zum Domänencontroller herstellen können, um ihr Kennwort zu ändern.
- Der Administrator kann AD-Richtlinien für das Gerät remote verwalten/durchsetzen, noch bevor sich der Benutzer anmeldet.
- Der Administrator kann Benutzern eine granulare Steuerung basierend auf der Benutzergruppe bieten, nachdem sich der Benutzer angemeldet hat. Beispielsweise können Sie mithilfe eines Tunnels auf Benutzerebene eine bestimmte Benutzergruppe einschränken oder Zugriff für eine Ressource gewähren.
- Der Benutzertunnel kann gemäß den Benutzeranforderungen für MFA konfiguriert werden.
- Mehrere Benutzer können dieselbe Maschine verwenden. Der Zugriff auf selektive Ressourcen erfolgt basierend auf dem Benutzerprofil. Beispielsweise können mehrere Benutzer eine Maschine problemlos in einem Kiosk verwenden.
- Benutzer, die remote arbeiten, stellen eine Verbindung zum Domänencontroller her, um ihr Kennwort zu ändern.
- Der Windows-Computer kann die Anmeldeinformationen des Benutzers mithilfe des Active Directorys (AD) des Unternehmens überprüfen, und die Windows-Anmeldeinformationen auf dem Computer werden nicht zwischengespeichert. Außerdem können sich neue AD-Benutzer des Unternehmens nahtlos an der Maschine anmelden.
- Der Windows-Computer wird bereits vor der Anmeldung von Benutzern Teil des Unternehmensintranets, sodass IT-Administratoren aus dem Unternehmensnetzwerk zu Debugging-Zwecken auf den Clientcomputer zugreifen können.
- Der VPN-Tunnel für einen Windows-Computer bleibt auch dann verbunden, wenn sich verschiedene Benutzer an der Maschine anmelden oder abmelden.
Always On VPN vor der Windows-Anmeldung verstehen
Im Folgenden finden Sie den Ablauf der Ereignisse für die AlwaysOn-VPN-Funktion vor der Windows-Anmeldung.
- Der Benutzer schaltet den Laptop ein. Der Tunnel auf Maschinenebene wird mit dem Gerätezertifikat als Identität in Richtung NetScaler Gateway eingerichtet.
- Der Benutzer meldet sich mit AD-Anmeldeinformationen am Laptop an.
- Nach der Anmeldung wird der Benutzer mit MFA herausgefordert.
- Nach einer erfolgreichen Authentifizierung wird der Tunnel auf Maschinenebene durch den Tunnel auf Benutzerebene ersetzt.
- Sobald sich der Benutzer abmeldet, wird der Tunnel auf Benutzerebene durch den Tunnel auf Maschinenebene ersetzt.
Zu beachtende Punkte:
- NetScaler Gateway und VPN-Plug-In müssen Version 13.0.41.20 und höher sein.
- Wenn ein Clientcomputer keine Internetverbindung hat, wartet Always On VPN vor der Windows-Anmeldung darauf, dass die Internetverbindung verfügbar ist, bevor der VPN-Tunnel eingerichtet wird.
- Wenn ein Clientcomputer mit einem Captive-Portalnetzwerk verbunden ist, wartet Always On VPN vor der Windows-Anmeldung darauf, dass sich der Benutzer beim Captive-Portal authentifiziert. Nachdem sich der Benutzer anmeldet und der Internetzugang aktiviert ist, richtet Always On VPN vor der Windows-Anmeldung den VPN-Tunnel ein.
- Immer ein VPN vor der Windows-Anmeldung unterstützt Captive-Portale für NetScaler.
- Wenn die Option für zwischengespeicherte Anmeldeinformationen für Windows nicht aktiviert ist, können sich Benutzer in den folgenden Szenarien nicht anmelden:
- Maschine hat keine Internetverbindung
- Maschine ist mit einem Captive-Portal-Netzwerk verbunden
- Administratoren müssen den Status des Gerätezertifikats überprüfen, bevor sie den Endbenutzern die Anmeldeseite präsentieren.
Bildschirm des Windows-Anmeldeinformationsmanagers nach Always On VPN vor der Konfiguration der Windows-
Nachdem die Funktion “ Immer ein VPN vor Windows-Anmeldung “ konfiguriert wurde, wird der Bildschirm des Windows-Anmeldeinformations-Managers wie folgt geändert.
Wenn Sie auf dem Anmeldebildschirm auf Anmeldeoptionen klicken, werden die folgenden Informationen angezeigt:
- Das NetScaler Gateway-Symbol zeigt an, ob die Maschine mit NetScaler Gateway verbunden ist oder nicht.
- Abhängig vom Benutzerkonfigurationsmodus wird eine der folgenden Anweisungen auf dem Anmeldebildschirm angezeigt.
- NetScaler Gateway ist im Dienstmodus verbunden
- NetScaler Gateway ist im Benutzermodus verbunden