Den SSLVPN Client zentral ausrollen, aktualisieren und per Registry-GPO konfigurieren.
Was Sie für den GPO-basierten Rollout benötigen.
• Windows Active Directory (Server 2016 oder neuer)
• Test-Client (Windows 10/11 Professional, Domain-joined)
• WatchGuard Firewall mit konfiguriertem Mobile VPN with SSL
• WatchGuard SSLVPN Client als MSI-Paket – falls nur eine EXE vorliegt, finden Sie die Konvertierung in der Anleitung EXE zu MSI konvertieren →
\\servername\freigabe\...), keine Laufwerksbuchstaben.
Das MSI-Paket über eine Computerrichtlinie automatisch auf allen relevanten Arbeitsplätzen installieren.
Erstellen Sie in der Gruppenrichtlinienverwaltung eine neue Richtlinie (z.B. „Deploy_WG-SSLVPN-Client") und verknüpfen Sie diese mit der Organisationseinheit (OU), in der sich die Zielcomputer befinden. Es handelt sich um eine Computerrichtlinie.
Öffnen Sie den GPO-Editor und navigieren Sie zu:
Computerkonfiguration → Richtlinien → Softwareeinstellungen → Softwareinstallation
Fügen Sie per Rechtsklick → „Neu" → „Paket" die MSI-Datei von der Netzwerkfreigabe hinzu. Wählen Sie als Bereitstellungsmethode „Zugewiesen".
Wenn nicht alle Computer in der OU den Client erhalten sollen, können Sie die Verteilung über die Sicherheitsfilterung einschränken:
• Erstellen Sie eine AD-Gruppe (z.B. „Grp_Install_WG-SSLVPN") und nehmen Sie die gewünschten Computerkonten auf.
• Ersetzen Sie unter „Sicherheitsfilterung" den Eintrag „Authentifizierte Benutzer" durch Ihre neue Gruppe.
• Stellen Sie im Reiter „Delegierung" sicher, dass „Authentifizierte Benutzer" weiterhin das Leserecht haben und die Installationsgruppe zusätzlich „Gruppenrichtlinie übernehmen" gesetzt hat.
Starten Sie den Testclient ein- bis zweimal neu. Nach der Anmeldung sollte der SSLVPN Client installiert sein. Den Status der Richtlinie können Sie mit folgendem Befehl prüfen (als Administrator ausführen):
Eine neuere Version des SSLVPN Clients über die bestehende GPO als Aktualisierung ausrollen.
Fügen Sie der bestehenden GPO ein weiteres Softwarepaket hinzu – diesmal die MSI-Datei der neueren Version. Wählen Sie bei der Bereitstellungsmethode „Erweitert".
Wechseln Sie in den Eigenschaften des neuen Pakets auf den Reiter „Aktualisierungen". Wählen Sie dort das bisherige Paket (die alte Version) als zu aktualisierende Software aus. Windows ersetzt beim nächsten Neustart die alte Version automatisch durch die neue.
Starten Sie den Testclient neu und prüfen Sie, ob die neue Version installiert wurde. Auch hier hilft gpresult /r bei der Fehlersuche.
Der SSLVPN Client speichert seine Konfiguration (Servername, Port, Benutzername) in der Windows-Registry. Diese Werte lassen sich gezielt per GPO vorbelegen.
Die Einstellungen finden Sie unter:
HKEY_CURRENT_USER\Software\WatchGuard\SSLVPNClient\Settings
Am einfachsten konfigurieren Sie den Client zunächst manuell auf einem Testrechner und übernehmen die resultierenden Registry-Werte dann in eine GPO.
Erstellen Sie ein neues GPO (z.B. „VPN_SSLVPN-Settings") und verknüpfen Sie es mit einer OU, in der sich die VPN-Benutzer befinden. Da die Registry-Schlüssel unter HKCU liegen, handelt es sich um eine Benutzerrichtlinie.
Navigieren Sie im GPO-Editor zu:
Benutzerkonfiguration → Einstellungen → Windows-Einstellungen → Registrierung
Legen Sie die gewünschten Schlüssel an – z.B. den Servernamen oder Port. Tipp: Über Variablen wie %username% können Sie auch benutzerspezifische Werte dynamisch setzen.
Analog zur Softwareverteilung können Sie auch hier die Sicherheitsfilterung nutzen, um die Konfiguration nur für bestimmte Benutzer anzuwenden – z.B. nur für Mitglieder der VPN- oder AuthPoint-Gruppe.
Nach einer Benutzeranmeldung (oder gpupdate /force) sollte der SSLVPN Client die hinterlegten Werte übernommen haben. Zur Kontrolle:
Beachten Sie: Bei Benutzerrichtlinien muss gpresult im Kontext des Benutzers (ohne Elevation) ausgeführt werden.
Die Kombination aus MSI-Verteilung und Registry-GPO deckt den gesamten Lebenszyklus des SSLVPN Clients ab.
Die beschriebenen Methoden lassen sich flexibel anpassen und erweitern. Ob Erstinstallation, Versionswechsel oder die Änderung eines VPN-Servernamens – über Gruppenrichtlinien lässt sich der SSLVPN Client schnell und zentral an neue Anforderungen anpassen.
Die hier gezeigten Wege dienen als Ausgangspunkt. Je nach Umgebung können Sie die Verteilung z.B. mit WMI-Filtern, Item-Level-Targeting oder Startskripten weiter verfeinern.