Einführung
In diesem Dokument werden die erforderlichen Schritte zur Installation des Cisco AnyConnect NAM-Agenten bei der Profilkonvertierung über die Batchdatei (.bat) ausführlich beschrieben. Die Batch-Datei kann dann lokal im System oder remote über den SCCM-Server in umfangreichen Bereitstellungen auf alle Computer ausgeführt werden. Die Cisco ISE kann diese Software bereitstellen, erfordert jedoch die Interaktion und Installationsberechtigungen der Endbenutzer.
Die Verwendung des Batch-Dateiskripts bietet mehrere Vorteile:
- Alle Wireless Profile-Konvertierungen.
- VPN-Modul kann bei Bedarf deaktiviert werden.
- Reduzieren Sie den Zeit- und Kostenaufwand für die manuelle Implementierung, indem Sie die Batchdatei ausführen und die AnyConnect-Module gleichzeitig installieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
- Windows-Betriebssystem. Network Access Manager wird unter Mac OS X oder Linux nicht unterstützt.
- Das System sollte über einen Mindestspeicher von 50 MB für die AnyConnect-Pakete verfügen.
- Der WLAN-Dienst (WLAN AutoConfig) muss in den Systemen ausgeführt werden.
Hinweis: Die Konvertierung wird nicht durchgeführt, wenn bereits eine XML-Konfigurationsdatei des Network Access Manager vorhanden ist (userConfiguration.xml).
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
- Windows 7
- AnyConnect 4.6.0.3.049
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
- Das gesamte Cisco AnyConnect-Paket sollte von der Cisco Website heruntergeladen und extrahiert werden. Die erforderlichen msi-Dateien und die configuration.xml-Datei sollten an dem Speicherort vorhanden sein, von dem aus die Stapeldatei ausgeführt wird.
Diese Dateien müssen in den Speicherort C:\cisco :
anyconnect-win-4.6.03049-core-vpn-predeploy-k9.msi
anyconnect-win-4.6.03049-nam-predeploy-k9.msi
configuration.xml
2. Das Network Access Manager-Modul kann so konfiguriert werden, dass einige vorhandene Windows 7- oder spätere Wireless-Profile in das Profilformat des Network Access Manager konvertiert werden, wenn das Modul erstmals auf dem Client-System installiert wird. Infrastrukturnetzwerke, die diesen Kriterien entsprechen und umgewandelt werden können:
-
Öffnen
-
Statisches WEP
-
WPA/WPA2 Personal
-
Nur native Wi-Fi-Benutzerprofile, die nicht von GPO stammen, werden konvertiert.
Hinweis: Für WPA2 Enterprise-Profile muss ein Profil mit demselben Namen über den Network Access Manager Profile Editor in der Datei configuration.xml erstellt werden.
3. Das System wird nach der Installation neu gestartet und das sollte den Benutzern bereits mitgeteilt werden.
Konfigurieren
Erstellen der Stapeldatei
In diesem Dokument lautet der mutmaßliche Speicherort der Anyconnect-msi-Dateien configuration.xml C:\cisco. Diese Befehle oder die Batchdatei mit diesen Befehlen müssen an derselben Stelle ausgeführt werden.
Zur Installation des NAM-Moduls ist eine Installation des Core-VPN-Moduls erforderlich. Dieser Befehl installiert das Core-VPN-Modul und blendet die Kachel des VPN-Moduls aus.
- msiexec /package anyconnect-win-4.6.04054-core-vpn-predeploy-k9.msi /norestart /passive PRE_DEPLOY_DISABLE_VPN=1
Für die Installation des Moduls ist ein Timeout erforderlich. Dieser Befehl löst eine Zeitüberschreitung von 15 Minuten aus.
Dieser Befehl installiert das NAM-Modul mit aktivierter Profilkonvertierung.
- msiexec /i anyconnect-win-4.6.04054-nam-predeploy-k9.msi PROFILE_CONVERSION=1 /norestart /passiv
Für die Installation des Moduls ist ein Timeout erforderlich. Dieser Befehl löst eine Zeitüberschreitung von 15 Minuten aus.
Mit diesem Befehl wird das Profil configuration.xml, das mit dem NAM-Profil-Editor erstellt wurde, an den erforderlichen Speicherort kopiert.
- xcopy configuration.xml C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\newConfigFiles
Dieser Befehl gibt an, dass die erforderliche Installation und Konvertierung abgeschlossen ist, und benachrichtigt Sie, dass ein Neustart innerhalb von 2 Minuten gestartet wird.
- echo "Ihr Computer wird in 2 Minuten neu gestartet. Bitte speichern Sie Ihre Arbeit"
Dieser Befehl initiiert einen Neustart des Windows-Betriebssystems in 2 Minuten.
Hinweis: Alle diese Befehle oder die Batchdatei mit diesen Befehlen müssen mit Administratorberechtigungen und in derselben Reihenfolge ausgeführt werden.
Verfahren für AnyConnect-Benutzer
- Wenn der Anyconnect-Agent beim Neustart des Computers auf dem Computer installiert ist, wird das Symbol Anyconnect angezeigt, und der Benutzer ist mit der bevorzugten SSID in der Liste verbunden.
2. Über das Dropdown-Menü in der Benutzeroberfläche des AnyConnect NAM-Moduls kann eine Verbindung zu anderen SSIDs hergestellt werden.
3. Um die gespeicherten Netzwerke anzuzeigen, klicken Sie auf das Listensymbol in der Benutzeroberfläche des NAM-Moduls und dann auf Netzwerke verwalten, wie im Bild gezeigt.
4. Verbindungen zu allen Netzwerken, die von den vom AnyConnect NAM-Modul verwalteten Adaptern bereitgestellt werden, müssen über AnyConnect NAM hergestellt werden.
Beispiel: Um eine Verbindung zu einer neuen WiFi-Verbindung Mnason-mob-new, wählen Sie das Netzwerk, wird ein Popup-Bildschirm für den Schlüssel geworfen. Geben Sie das WiFi-Kennwort im Feld Schlüssel ein, um eine Verbindung zum neuen Netzwerk herzustellen.
Zusätzliche Informationen
Das Symbol des Fachs für systemeigene Komponenten kann die Benutzer verwirren, eine Verbindung zu einem Netzwerk herzustellen, da NAM und nicht der native Bestandteil (Native Supplicant) verwendet werden müssen. Diese Änderungen können an der Windows-Registrierung vorgenommen werden, um das Taskleistensymbol für die Netzwerkverbindung auszublenden:
- Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.
- Bearbeiten Sie den Wert des REG_DWORD mit dem Namen HideSCANetwork in 1 (hexadezimal), falls vorhanden, oder erstellen Sie einen Wert, falls dieser nicht vorhanden ist.
- Starten Sie das System neu.
Hinweis: Diese Änderung der Registrierung wurde mit Windows 7 und Windows 10 getestet.
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Nachdem die Änderungen an der Registrierung vorgenommen und der Neustart durchgeführt wurde, sollte der Netzwerkkonnektivitätsbereich ausgeblendet werden.