Freigeben über


Auto-triggered VPN Verbindungen in Windows 8.1 (Preview)

In meinem Vortrag bei AnyKey zu "Windows 8.1 im Unternehmen" (ab Stunde 2:30), habe ich über auto-triggered VPNs gesprochen und hier möchte ich nun etwas mehr Details dazu geben.

Vorab der Hinweis: es handelt sich hierbei um eine Preview und Details / Funktionen können sich mit der RTM Version ändern!

Mit Windows 8.1 wird es die Möglichkeit geben, VPN Verbindungen automatisch anzustoßen. Immer dann, wenn eine Ressource aufgerufen wird, welche eine Verbindung ins Firmennetz benötigt.

Dabei kann es sich um eine App handeln, aber auch Aufrufe interner Webseiten über z.B. https://intranet sind denkbar.

Schauen wir uns erst einmal ein Beispiel an, wie es bisher aus Benutzersicht möglicherweise ausgesehen haben könnte.

Der Benutzer arbeitet von unterwegs und stellt eine einfache Internetverbindung her. Er bekommt eine E-Mail von einem Kollegen, mit einem Link zu den angefragten Informationen. Er klickt auf den Link und erhält folgende Fehlermeldung, da die Adresse extern weder aufgelöst noch aufgerufen werden kann:

Er wird also als erstes mit einer Negativnachricht konfrontiert, unschön. Für uns ITler ist das absolut klar, warum diese Meldung angezeigt wird. Vielleicht ärgern wir uns sogar - über uns selbst - dass wir nicht vorher eine Verbindung ins Firmennetz aufgebaut haben, bevor wir auf interne Links klicken... aber für die meisten Endanwender, ist das nicht so klar. Anwender sollen sich über solche Dinge auch keine Gedanken machen müssen, sondern den Zugriff auf die benötigten Ressourcen EINFACH und UNKOMPLIZIERT bekommen, von überall aus.

Und genau das haben wir mit auto-triggered VPN adressiert. So ein Standardaufruf soll in Zukunft, mit Windows 8.1, anders ablaufen.
Wie sieht das gleiche Szenario mit Windows 8.1 und eingerichtetem auto-triggered VPN dann aus?
Er klickt auf den Link in der E-Mail und eine Toast-Notification erscheint am rechten oberen Bildschirmrand, mit dem Hinweis, dass die VPN Verbindung noch seine Zugangsdaten benötigt:

Der Aufruf der Intranetseite hat automatisch das Herstellen der VPN Verbindung angestoßen, der Benutzer erhält keine Negativmeldung. Stattdessen wird er aufgefordert seine Anmeldinformationen einzugeben, indem er auf diese Toast-Notification klickt

Nach der Eingabe wird die VPN Verbindung hergestellt und die Intranetseite geöffnet. Ein durchaus positives Benutzererlebnis!

Genauso würde es auch aussehen, wenn der Benutzer eine App öffnet, welche eine VPN Verbindung voraussetzt. Das wurde auch der TechEd Europe 2013 in Madrid auch gezeigt, hier der Ausschnitt:
[View:https://www.youtube.com/watch?v=Wfmg2F8IC7s&feature=youtu.be]

Wie funktioniert das bzw. was muss dafür konfiguriert werden? 

Das automatische Anstoßen einer VPN Verbindung beim Öffnen einer App, funktioniert durch das Registrieren der App (MOSH*/classic App ID) für das jeweilige VPN Profil.

Als erstes also muss ein VPN Profil eingerichtet werden:
Power Shell Beispiel:

Add-VpnConnection -Name "Test3" -ServerAddress "10.1.1.1" -TunnelType Sstp -EncryptionLevel Required -AuthenticationMethod MSChapv2 -UseWinlogonCredential -SplitTunneling -RememberCredential -DnsSuffix "Portal.firma.de"

TechNet Artikel "VPN Client Cmdlets in Windows PowerShell" mit Beschreibung und Syntax für alle VPN Client-spezifischen cmdlets (bereits aktualisiert für Windows Server 2012 R2 bzw. Windows 8.1).

Dafür gibt es ebenfalls Power Shell cmdlets, um die App für das entsprechende VPN Profil zu registrieren.

Add-VpnConnectionTriggerApplication -ConnectionName "Test3" -ApplicationID "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe","Microsoft.RemoteDesktop_Contoso0987"

Bei dem namenbasierten Anstoßen, wird die VPN Verbindung aufgerufen, basierend auf den eingetragenen DNS Suffixe in der Name Resolution Policy Table (NRPT).
An dem Beispiel von oben, bei dem der Benutzer versucht https://intranet zu öffnen. Wenn der Firmensuffix z.B. portal.firma.de registriert ist, wird demzufolge die VPN angestoßen. 

Power Shell Beispiel:

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "Test3" -DnsSuffix "portal.firma.de" -DnsIPAddress "10.1.1.2"

Eine wirklich einfach zu konfigurierende und tolle Sache!!! :)

Vorher noch lesenswert und womöglich Zeit sparend :) Domain-joined PCs & auto-triggered VPN Verbindungen

Wer die Preview von Windows 8.1 testen möchte, findet alle nötigen Informationen unter preview.windows.com

Happy RASing :)
? Heike

Comments

  • Anonymous
    January 01, 2003
    Danke für die Informationen :-) Schöne Grüße aus Berlin Oliver

  • Anonymous
    January 01, 2003
    Hallo Helmut, ja, kann man. Alle (derzeit) möglichen Authentifizierungsmethoden und die dafür benötigten Parameter und Werte findest Du hier: technet.microsoft.com/.../jj554824(v=wps.630).aspx Habe eben auch noch ein Update an dem Artikel vorgenommen: Domain-joined Devices können kein auto-triggered VPN - das nur ein wichtiger Hinweis Viele Grüße ☁ Heike

  • Anonymous
    January 01, 2003
    Gerne! Immer her mit solchen Aufgaben/Anfragen :)

  • Anonymous
    July 11, 2013
    Superschnell und umfangreich! Herzlichen Dank Heike!

  • Anonymous
    July 19, 2013
    Sehr informativ und gut geschrieben danke Frau Ritter

  • Anonymous
    September 02, 2013
    Schön, aber kann man damit auch eine VPN-Verbindung L2TP/IPsec XAuth PSK einrichten?

  • Anonymous
    January 22, 2014
    The comment has been removed

  • Anonymous
    June 13, 2014
    XAuth wird in Windows als Authentifizierungsmethode nicht unterstützt.

  • Anonymous
    March 24, 2016
    Hallo, gibt es das Auto-Triggered, oder App-Triggerd VPN auch bei Windows 10 mobile? Bei 8.1 wars super für Apps eigene IP-Ranges einzustellen, bei 10 finde ich diese Einstellungen nicht.