По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).
Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.
В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.
В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:
Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk "str0ngSharedKey2" -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru
В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.
В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).
Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога
%userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK
в
C:\ProgramData\Microsoft\Network\Connections\PBK
.
Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.
Введите имя и пароль пользователя для VPN подключения.
После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.
круто! давно искал в инете данную тему! спасибо за инфу!!!
вот если бы ещё можно было научить ноутбуки wi-fi запускать перед логоном пользователя, вообще бы цены не было!!!
согласен. WiFi после входа пользователя вообще огромная проблема, а решения нет нигде.
Решение есть. Штатными средствами винды. Использовал его еще лет 12 назад на Windows XP+Server 2003
А если ПК с Вин7 уже в домене то его нужно выводить ? не совсем понятен этот момент 🙁
С доменным ПК на Вин8.1 такой сценарий работает?
В тестируемом примере ПК с Win 7 находился в домене (на недоменном ПК менюшка не должна показываться).
В Win 8.1 такую схему не пробовал, но думаю на доменном ПК должно работать, если только разработчики не отказались от такого входа в пользу DirectAccess
А с Windows 10 не прокатил такой сабж 🙁
Спасибо вам за статью, очень помогло, в некоторых вопросах. Но у нас немного иная ситуация.
Вы писали следующее
———————————————————————————————-
Здесь необходимо указать учетную запись и пароль пользователя с правами удаленного подключения к домену. Нажав кнопку входа, система инициирует VPN подключение, и одновременно с помощью этих же учетных данных авторизует пользователя на локальном компьютере.
———————————————————————————————-
А возможно ли сделать так, чтобы система инициировала VPN подключение, но одно временно не использовала эти же учетные данные для авторизации пользователя. Есть два разных домена. Домен Д1, к которому подключен VPN-сервер и домен Д2, у которого нет VPN-сервера, но есть локальное подключение к домену Д1.
Как нам быть, может быть у вас будет совет?
Нам необходимо войти в систему под учетной записью домена Д2.
Вам видимо лучше испольовать другую схему. VPN подключение под Д1 осуществляется службой до входа пользователя в систему (https://winitpro.ru/index.php/2012/11/26/avtozapusk-vpn-v-windows/), а затем вы авторизуетесь в домене под другой учеткой Д2. Главное, чтобы после установки VPN подключения был доступен контроллер домена 2.
Но недостаток — пароль Д1 — хранится в открытом виде.
а как быть если vpn сервер не является доменом контролером а существует на роутере со своими учетными записями? такой способ как то можно к этому способу приделать?
Да — если используете встроенный в Windows VPN клиент. Если нет — нужно разбираться с VPN — софтом: умеет ли он работать в виде службы.
Вот только не пойму, зачем вам устанавливать vpn до входа пользователя в систему. В вашем случае нужно просто настроить автозапуск VPN клиента при входе пользователя.Хотя бы здесь посмотрите: https://winitpro.ru/index.php/2016/01/27/autoredial-dlya-vpn-soedinenij-windows-82008102012/
подскажите, пожалуйста, а если нужно наоборот — скрыть кнопку «Network Logon» с логон скрина?
это можно сделать изменив значение ключа в реестре (какой ключ за это отвечает)?
заранее спасибо
Здорово. А если VPN сервер на маршрутизаторе и имеет один аккаунт, а пользователь домена имеет совсем другой , не связанный с маршрутизатором аккаунт. Куда какой из них вводить?
установить соединение — набираете аккаунт роутера,
зайти в ОС — набираете доменные данные аккаунта
Добрый, ребят подскажите плиз, как это реализовать на 10ке или 11ке, штатным средствами.
Сотрудники то дома, то в офисе. Все пк в домене, перед вводом логина пароля было бы отлично запустить впн и подконнектиться к рутеру миротик, а потом уже вводить учетные данные в домене. Постоянно траблы с общими папками и так далее.
Обновил статью — показал, как создать VPN подключение, которое запускается до входа в Windows 10/11.
Это не слишком нативно.
Майкрософт уже давно придумало решение
AlwaysOnVPN называется. Он пришёл на смену widows direct access:)
Согласен, но под always on vpn нужна довольно сложная инфраструктура. там и CA и NPS.
Для маленьких — вполне хватит и такого варианта )
Доброго дня! Вот чего не понял. А как тогда подключать VPN автоматически при запуске ПК и до входа пользователя?
В данном случае не автоматическое подключение, а ручное. Если нужно автоматическое — проще всего решить через создание задания планировщика, которое стартует после иницилизации сети. Но в задании придется в открытом виде вбивать логин и пароль для VPN подключения.
Подскажите, данным видом подключения можно заменить Citrix Secure Access?
Сдаётся мне что нет, не с проста у него свой клиент
Если он поддерживает какой-то из паблик VPN протоколов, то да. Но подозреваю, что у citrix там какой-то проприетарный протокол VPN
Добрый день!
Возможно ли как то сохранить логин для авторизации по впн?
Прямо из gui не получится сохранить пароль. Наверно как вариант, сделать скрипт автоподключение, котрый запускается при загрузке windows до входа пользователя и извлекает пароль из условного локального файла. Не безопасно и не очень удобно, конечно.
Как вариант сделать локальный vault, из которого можно извлевать пароли. Это немного обезопасит, но не совсем конечно.
не не…..я не про пароль, а про то что бы не вбивать опять логин
Возможно имя пользователя по-умолчанию можно прописать в файл rasphone.pbk.
ЗЫ. сам не пробовал