Jump to content

bastian.will

Members
  • Content Count

    74
  • Joined

  • Last visited

Community Reputation

10 Neutral

About bastian.will

  • Rank
    Junior Member
  1. Moin, ist zwar schon ein paar Tage als das Thema. Aber vielleicht hilft es ja doch noch: Die entsprechenden Ports denen Du 802.1x zugeordnet hast kannst Du mit aaa port-access authenticator A1-A24 auth-vid X aaa port-access authenticator A1-A24 unauth-vid X Die VLANs zuordnen in denen sie je nach 802.1x Ergebnis landen sollen. Edit: Alternativ kannst Du zusätzlich mac-based Authentifizierung einrichten, damit gehts ganz sicher. Gruß b.w
  2. Moin, bin ich der Einzige, der die Anforderungen ein bisschen - naja - merkwürdig findet? 14 Mitarbeiter, > 2 TB Daten, Backup, Raid - und dann ein einfaches NAS? Klar wird es teurer, aber ein kleines SAN ist da doch schon angebracht. Gruß b.w
  3. Hallo *, schade, dass mich hier niemand unterstützen konnte oder wollte. Damit zumindest der "Nachwelt" geholfen ist, möchte ich die von mir umgesetzte Lösung zum Thema hier präsentieren. Zusätzlich zum DEFAULT_VLAN habe ich 2 weitere ('unauth' VID 2, 'auth' VID 3) eingerichtet, dem VLAN unauth erstmal alle Ports untagged zugeordnet und für beide VLANs dem Switch eine IP gegeben und den Standard Gateway eingerichtet: config term vlan 2 name "unauth" untag all ip addr 192.168.3.2/24 vlan 3 name "auth" ip addr 192.168.2.2/24 ip default-gateway 192.168.2.1 exit write mem Weiter gehts mit dem Radius Server samt Key: config term radius-server host 192.168.2.4 key secretkey show radius <-- zur Kontrolle exit write mem Da am Switch auch Server hängen habe ich die Ports A1 bis B20 fest mit dem VLAN 3 "auth" verbunden. Die Ports B21 und B22 kommen ins VLAN 2 "unauth": config term vlan 3 untag A1-A22 vlan 2 untag B21-B22 exit write mem Um die Authentifizierung zu sichern benötigt der Switch ein Manager User und ein Passwort. Weiterhin ist ein RSA Key zu generieren, damit der Zugriff auf den Radius Server klappt: config term passwort manager user-name admin New password for manager: bla Retype: bla krypto key gen cert 1024 exit write mem Nun ist die MAC basierte Authentifizierung für die Ports einzurichten und dem Ports mitzugeben, welche VLAN ID sie haben sollen, je nachdem wie die Authentifizierung ausfällt: config term aaa port-access mac-based C1-H24 aaa port-access mac-based C1-H24 auth-vid 3 aaa port-access mac-based C1-H24 unauth-vid 2 exit mem write Soweit die Konfiguration am Switch. Im Radius Server nun noch den Switch mit dem angegeben key als Client einrichten und MD5-Challenge zuordnen. HP authentifiziert den Rechner über die MAC Adresse (Username und Passwort) gegen das ADs. Hierbei ist zu beachten, dass das Konto mit umgekehrtem Passwort zur Entschlüsselung gespeichert werden und die Einwahl für den Benutzer erlaubt ist. Da MAC Adresse als Benutzer und(!) Passwort dient ist darauf zu achten, dass die Benutzer keine Rechte im ADs bekommen, also nicht Mitglied der Gruppe "Domänen-Benutzer" ist. Hier bietet es sich an, eine separate Sicherheitsgruppe ohne Rechte anzulegen. In der Hoffnung, dass ich hiermit mal jemandem helfen kann möchte ich mich noch bei denen bedanken, die mir hätten helfen können und es nicht getan haben. DANKE! So hab ich bei einfachem RTFM vieles über meinen Switch lernen können. :cool: Gruß b.w
  4. Hallo *, ich habe bisher wenig Erfahrungen mit dem oben genannten Thema. Da wir gerade unser Netz in der Zentrale auf den oben genannten Switch umstellen, wollte ich die Chance nutzen und das Netz ein wenig sicherer machen. Das Thema Mac Authentifizierug über Radius scheint mir hier die richtige Wahl zu sein. Unser Netz ist nicht so groß, dass wir komplexe VLAN Strukturen benötigen. Es gibt nur eine lockere Abteilungsstruktur und die Daten mit denen gearbeitet wird liegen zum größten Teil auf einem Fileserver. VLAN ist also nur ein Thema, wenn es für die Mac Authentifizierung benötigt wird. Die Authentifizierung bei HP läuft ja über die Mac Adresse des Rechners mit der Mac Adresse als Kennwort gegen einen Radius Server. Da wir einen solchen unter Win2k3 bereits für die WLAN Authentifizierung nutzen, bietet sich das bei uns an. Allerdings haben wir auch viel Besucher die mal einen Internetzugang mit dem eigenen Gerät benötigen, daher möchte ich diese nicht komplett ausschliessen. Meine Vorstellung ist folgende: - Bekannte Mac Adressen bekommen uneingeschränkten Zugriff - Unbekannte Mac Adressen bekommen Zugriff auf ein seperates VLAN mit Zugriff auf seperate Schnittstelle am Proxy Kann mir jemand von Euch ggf. helfen, bzw. mich auf den richtigen Weg bringen? Danke schon mal Gruß b.w
  5. Was hälst Du von perfmon? Damit kannst Du die angegebenen Indikatoren über einen zeitraum von X aufzeichnen. Allerdings wird die Auswertung ein bisschen aufwendiger.
  6. Soviel ich weiss, werden die VM Workstation NICs (AMD) nicht vom ESX unterstüzt, daher wird das wohl nix.
  7. Moin, vielleicht nicht ganz genau zum Thema, aber schau Dir mal con2prt.exe an, die haben wir hier im Einsatz und sie funktioniert problemlos.
  8. Moin, bin auf der Suche nach einem Tool, welches bei der Anmeldung an einen Win2k3 Server ein Formular / Eingabefeld öffnet in das der User den Grund der Anmeldung eintragen MUSS. Sonst also keinen Zugriff auf den Server bekommt. Hintergrund: Unsere DBA brauchen RDP Zugriff auf einen Server und wir sind ein bischen skeptisch was den Umgang mit dem System angeht. Danke Gruß bw
  9. Pauschal würde ich sagen: Es dürfen soviele User Office nutzen, wie ihr Lizenzen habt.
  10. Danke für die schnelle Antwort, WINS ist nicht aktiv. In ADSIEdit habe ich nichts gefunden.
  11. Hallo Experten: Ich bekomme folgende Fehlermeldung von unserem MOM: While running 'AD Op Master Response' 3 consecutive errors were encountered. A message will be generated when the script succeeds. Look for a 'success' event from 'AD Op Master Response' with ID = 20015. The events that triggered this alert were: 1/9/2007 8:00:20 PM : Failed to ping RID Op Master xxx (192.168.2.123). The default gateway (192.168.2.1) is pingable. 1/9/2007 8:05:15 PM : Failed to ping RID Op Master xxx (192.168.2.123). The default gateway (192.168.2.1) is pingable. 1/9/2007 8:10:17 PM : Failed to ping RID Op Master xxx (192.168.2.123). The default gateway (192.168.2.1) is pingable. To see all events generated by this script, look in the public view: 'AD Op Master Response Events'. Der Rechner ist Rollen Inhaber und hatte diese IP auch mal (+ eine Weitere). Seit der Installation einer IBM Software (vielen Dank an IBM) darf auf dem Server nur ein NIC aktiv sein, sonst läuft die IBM Software nicht. Daher fiel diese IP weg. Im DNS ist sie nicht mehr zu finden bzw. entfernt. Wo versteckt sich dieser Eintrag, bzw. wie bekomme ich die Zuordnung IP - > Rolleninhaber so hin, daß sie nur auf die andere Adresse zeigt? Danke für die Hilfe Mfg bw
  12. Wie ist es mit dem "Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten" mit dem Anmelden ausserhalb eines Netzwerks?
  13. Moin Moin, Folgendes Szenario: Wir haben hier ein WLAN welches beim verbinden die lokalen Benutzerdaten über einen Radius gegen das ADS abgleicht. Nun kam der Einwand, daß ohne Netzverbindung beim Anmelden kein Login Skript läuft. Ist ja auch soweit logisch. Nun meine Frage: Gibt es eine Möglichkeit den Verbindungsaufbau beim Login zu "erzwingen"? Zu bedenken ist, daß die Gerät auch ausserhalb genutzt werden und dann keine Verbindung zum ADS haben. Danke für die Antworten.
  14. Moin Moin, wir sind auf der Suche nach einem Tool was für uns die Änderungen im ADs nachvollziehbar macht, möglichst mit GPO und Exchange (alles auf 2k3). Es würde eine Lösung reichen, welche die Boardmittel (Ereignisanzeige - Security) auswerten kann. Kennt jemand da eine zuverlässige Lösung? Vielen Dank schonmal. Gruß bw
  15. Moin Moin, habe ein Problem mit OMA (Outlook Mobile Access)! Die Seite lässt sich nicht aufrufen: 404 - Die Seite wurde nicht gefunden. Die Konfiguration im IIS scheint korrekt. DotNET ist auch alles korrekt installiert. Gibt es die Möglichkeit, die OMA Installation zu reparieren? Danke bw
×
×
  • Create New...