Aller au contenu

VPN client to site OK, mais soucis de GPO


steph77

Messages recommandés

Salut à tous, je revient à la charge avec un petit souci peu impactant mais qui me laisse pantois !

 

Contexte: Serveur Windows 2019 avec AD + DHCP, 1 machine cliente qui tente de se connecter à ce serveur par VPN.

 

Le VPN est OpenVPN derrière Pfsense, tout fonctionne nickel: l'authentification AD, Internet, le partage des ressources d'entreprises. Néanmoins, le fond d'écran, défini par GPO se retire laissant place à un fond d'écran noir. Si je tente un gpupdate /force, la commande s'exécute normalement. 

Bien sûr, le fichier image du fond d'écran se trouve sur un partage smb (accessible depuis l'ordinateur distant). 

 

Bon ça ne doit pas être grand chose forcément mais ça creuse la tête ! 

 

Merci de vos retours si vous avez une petite idée :) 

S

Lien vers le commentaire
Partager sur d’autres sites

Salut @steph77 !

 

Je suppose que pour se connecter sur le serveur via le VPN, la machine client utilise le client RDP Bureau à distance.

De ce fait, est-ce que tout bêtement, dans l'onglet expérience, la vitesse de connexion n'est pas sur autre chose qu'automatique ?

Car si c'est le cas, il se peut que le fond d'écran ne soit pas affiché.

Lien vers le commentaire
Partager sur d’autres sites

Hello @Schwarzer !

Je me suis mal exprimé en fait ^^

 

Le client tente d'accéder aux ressources de l'entreprises tout en étant pas dans les locaux de l'entreprise. Pour cela il utilise OpenVPN et tout fonctionne (auth, internet, ressources smb) De plus, ce client peut pinger le serveur. En revanche la GPO du fond d'écran ne s'applique pas :( 

 

Concernant RDP dont tu pensais que je parlais, cela fonctionne nickel, mon client peut se connecter en RDP sans soucis :) 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, steph77 a dit :

Je me suis mal exprimé en fait ^^

 

Non, du tout, j'ai tout à fait compris.

 

il y a 1 minute, steph77 a dit :

Le client tente d'accéder aux ressources de l'entreprises tout en étant pas dans les locaux de l'entreprise. Pour cela il utilise OpenVPN et tout fonctionne (auth, internet, ressources smb) De plus, ce client peut pinger le serveur.

 

Oui, jusqu'à là c'est logique, sinon il n'est pas nécessaire d'utiliser un VPN. 😆

 

il y a 2 minutes, steph77 a dit :

Concernant RDP dont tu pensais que je parlais, cela fonctionne nickel, mon client peut se connecter en RDP sans soucis :) 

 

Je pense que c'est là que nous nous sommes pas compris. 😄

Ton client, pour se connecter à ton serveur depuis sa machine et qui utilise le VPN.

Il est bien obliger de passer par un client RDP et dans ce client RDP, tu as des options qui permettent de désactiver le fond d'écran pour le serveur distant.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Je pense que c'est là que nous nous sommes pas compris. 

Ton client, pour se connecter à ton serveur depuis sa machine et qui utilise le VPN.

Il est bien obliger de passer par un client RDP et dans ce client RDP, tu as des options qui permettent de désactiver le fond d'écran pour le serveur distant.

 

En fait il ne se connecte pas au serveur, il accède aux ressources de l'entreprises que propose mon serveur donc pas de RDP ^^. Et pour accéder à ses ressources il établit une connexion VPN entre lui et le réseau de la boite. 

 

Pour le fond d'écran j'ai résolu le problème ^^, ce qu'il se passait c'est que celui-ci était stocké sur un répertoire partagé sur le serveur sauf que la gpo correspondante ne peut pas s'appliquer session ouverte mais en même temps si la session est fermée, l'ordinateur n'est pas encore sur le réseau de l'entreprise donc ne charge pas la gpo, le serpent se mord la queue. 

 

Pour donner la solution, si qqun à le même problème, il faut faire une GPO utilisateur qui copie l'image du papier peint vers un dossier local (ex C:\Windows\Web\Wallpaper\screen.jpg) ce qui fait que lors de l'exécution de gpupdate, le fond d'écran est chargé depuis le serveur puis copié dans un dossier local hors connexion puis au redémarrage, le fond d'écran se mets bien :)

 

Bon au final je fait un post sur un forum et je trouve 3 minutes après, veuillez m'excuser pour ma rapidité à déclare run problème... Mais j'apprends 😛 

Lien vers le commentaire
Partager sur d’autres sites

@steph77Je l'ai mis en place pour un client :

Automatise le lancement d'OpenVPN en ajoutant une clé de registre dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Tu la nomme par exemple OpenVPN, et en valeur tu lui mets :

"C:\Program Files (x86)\OpenVPN\bin\openvpn-gui.exe" --connect xxxxx.ovpn

Où xxxx.ovpn est ton fichier de config ovpn.

 

Il faudra peut être modifier l'exécutable gui pour qu'il s'exécute en tant qu'admin automatiquement.

Peut être aussi éditer ton fichier de conf pour lui permettre d'embarquer le user/password.

(en utilisant le paramètre auth-user-pass password.txt' et en créant un fichier password.txt).

 

En tous cas c'est faisable.
Test le et reviens si besoin si tu ne parviens pas à le faire fonctionner.

Je vérifierai comment j'avais procédé.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, Pyrithe a dit :

@steph77Je l'ai mis en place pour un client :

Automatise le lancement d'OpenVPN en ajoutant une clé de registre dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Tu la nomme par exemple OpenVPN, et en valeur tu lui mets :

"C:\Program Files (x86)\OpenVPN\bin\openvpn-gui.exe" --connect xxxxx.ovpn

Où xxxx.ovpn est ton fichier de config ovpn.

 

Il faudra peut être modifier l'exécutable gui pour qu'il s'exécute en tant qu'admin automatiquement.

Peut être aussi éditer ton fichier de conf pour lui permettre d'embarquer le user/password.

(en utilisant le paramètre auth-user-pass password.txt' et en créant un fichier password.txt).

 

En tous cas c'est faisable.
Test le et reviens si besoin si tu ne parviens pas à le faire fonctionner.

Je vérifierai comment j'avais procédé.

 

 

Merci @Pyrithe, je vais regarder ça. En revanche c'est une configuration a appliquer dans le cas ou ce client ne va jamais sur le site de l'entreprise car sinon il faudrait qu'il désactive de lui même le VPN et ça c'est des appels à la hotline à longueur de temps haha. 

 

En ce moment OpenVPN est branché sur l'annuaire LDAP via Pfsense pour permettre une sorte de "sso" à l'utilisateur final (aux fins d'éviter les post-its sous le clavier...)

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, steph77 a dit :

 

Merci @Pyrithe, je vais regarder ça. En revanche c'est une configuration a appliquer dans le cas ou ce client ne va jamais sur le site de l'entreprise car sinon il faudrait qu'il désactive de lui même le VPN et ça c'est des appels à la hotline à longueur de temps haha. 

 

Effectivement...

Sinon il faut scripter. Un script permettant à l'utilisateur, après ouverture de la session, de lancer la connexion VPN.

Ensuite, test de connectivité OK (ping d'une machine du LAN distant).

Une fois ce test OK, lancement d'un gpupdate.

Ca doit pouvoir le faire...

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Pyrithe a dit :

 

Effectivement...

Sinon il faut scripter. Un script permettant à l'utilisateur, après ouverture de la session, de lancer la connexion VPN.

Ensuite, test de connectivité OK (ping d'une machine du LAN distant).

Une fois ce test OK, lancement d'un gpupdate.

Ca doit pouvoir le faire...

 

Ah bonne idée ça, je vais creuser ! Surtout qu'en plus je suis en train de me former sur le scripting :)

Lien vers le commentaire
Partager sur d’autres sites

J'en profite d'ailleurs: Avez-vous des ressources (doc) pour la mise en place de SSO via l'AD ? J'aimerai pouvoir, via GPO, que le client puisse s'identifier sur des services type outlook (mails exchange via office 365) mais aussi sur Sharepoint et peut-être des intranets ? 

(Je suis en formation, tout ça n'est qu'a des fins de LAB :) )

 

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...