nouseforaname

Moin . . .

naja, ich war ja nicht dabei, aber ich traue ihm das grundsätzlich schon zu einen PC in die domäne aufzunehmen, ich dachte nur ich hätte mal etwas in die Richtung gelesen, aber da ich auch absolut nix in die Richtung finde, glaube ich langsam dass ich mich da komplett irre!

trotzdem danke

sollte ich doch noch etwas finden, werde ich es natürlich hier posten!

MfG

Kaí

hi,

es war ein xp sp2 client und er wollte ihn über die netzwerkkennung am client in die Domäne aufnehmen! Aktuellstes Patchlevel, sonstige Anwendungen weiß ich leider nicht!

google mir schon die finger wund und ich finde nichts mehr in die richtung!

MfG

Kai

Hi,

dann musst du den Clients aus netz 02 immer noch den Weg ins 01 Netz zeigen, somit können Sie auch wieder mit den Clients kommunizieren.

Ich weiß nicht was du vor hast, ob das "nur mal probieren" ist -

ein Layer 3 Switch mit entsprechender VLAN Config wäre eine Lösung - kostet aber!

MfG

Kai

Hi,

einer meiner Kollegen hat mir heute von einem Problem beim Einbinden von PC's in eine neue 2003er SP2 Domäne erzählt. Es kommt wohl die Meldung die Domäne sei nicht vorhanden.

Er hat dann das Computerkonto manuell angelegt und voila geht . . .

Ich bin mir nicht mehr sicher und ich finde es auch nicht mehr, aber ich glaube mal gelesen haben, dass es bei einer SP2 Domäne bei bestimmten Voraussetzungen der Clients zu Problemen kommen kann ?

Leider weiß ich nicht mehr wo ich das gelesen habe und finde auch nichts mehr!

Hat das außer mir noch jemand mal gelesen, vielleicht sogar gesehen?

(falls nicht muss ich mir glaube ich ernsthafte gedanken machen, warum ich in letzter Zeit so verwirrt bin)

Danke im voraus!

MfG

Kai

Hi,

sobald du den RAS Dienst startet sammelt der Server die ihm bekannten Netzte und den Weg dorthin um sobald bei Ihm angefragt wird, die Clients in die entsprechenden Netze weiterzuleiten.

Eine Statische Route kommt zum Einsatz wenn du dem RAS Server den Weg in ein Ihm nicht bekanntes Netz (sprich er hat keine eigene NIC in diesem IP-Bereich) bekannt machen willst.

MfG

Kai

Hi,

vom verhalten her denke ich auch dass es am client zertifikat liegt.

Die mitgeschnittenen Pakete waren höchstwars***einlich der EAP-Request des WLAN AP und der EAP-Response des Clients.

Ich habe die Authentifizierung auch noch nicht mit einem Zert probiert dass nicht den FQDN enthält denke aber das es nicht funktioniert => siehe

• For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the client's fully qualified domain name (FQDN), which is also called the DNS name. To configure this name in the certificate template:

1.

Open Certificate Templates.

2.

In the details pane, right-click the certificate template that you want to change, and then click properties.

3.

Click the Subject Name tab, and then click Build from this Active Directory information.

4.

In Include this information in alternate subject name, select DNS name.

Quelle: Microsoft Corporation

mfg

kai

Hi,

du brauchst die entsprechende Netzwerkhardware die 802.1x unterstützt,

und musst eine komplette PKI Aufbauen, aber du schreibst was von XP Home als Client Betriebssystem, das erschwert den Einsatz einer PKI enorm / macht es unmöglich!

MfG

Kai

Hallo,

ich habe mir den a-sign client mal kurz angeschaut, ich habe da nur was von digitalen Signaturen gelesen,

kann es sein dass die Smart Card grundsätzlich benötigt wird um das Programm oder den Login aus/durchzuführen ?

Weitergehend wird dir wohl nur der jeweilige support des Herstellers helfen können,

sowie ich das gelesen habe muss zur Verwendung ein Plugin von a-sign im Browser installiert werden, oder ?

Vielleicht erscheint deswegen die Nachfrage nach dem Zertifikat.

MfG

Kai

Hallo,

ich dacht mit "warum die beiden Programme nervern" wäre die Anwendung gemeint!

du meinst aber die beiden browser? und das kommt sofort beim öffnen?

und danach kannst du weiter ins internet?

was ist das den für ein Zertifikat ?

Selbsterstellt ? nur eine Signatur ?

muss die Anwendung bzw. der Zugriff noch genutzt werden?

mfg

kai

Hi,

nur eine vermutung, da die Informationnen ein bisschen zu wenig sind und ich keine der genannten Applikationen kenne!

Wurde vielleicht nur das Zertifikat und nicht der dazugehörige Privat Key kopiert ?

Dies würde erklären warum die SmartCard angefragt wird!

MfG

Kai

Hi,

du könntest das Problem erstmal umgehen in dem du ein delay vor dem laufwerksmapping (im login script?) einbaust, du musst dann nur noch ein bisschen experementieren wie lange der delay sein muss, dass das ganze sauber läuft.

ansonsten könntest du den netzwerktraffic des clients mal überwachen, so siehst du vielleicht wo es hakt!

mfg

kai

Hi,

hier mal ein bisschen was zum lesen, falls noch fragen sind, immer her damit!

802.1x - Cisco Systems

Der 5-Minuten-Sicherheitstipp - Das 802.1x-Protokoll unter Windows XP

Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de

mfg

kai

Hallo,

ich habe derzeit einen Aladdin e-token pro im test für eine 802.1x Authentifizierung.

802.1x funktioniert ohne e-token (zertifikate im lokalen Zertifikatspeicher).

Wenn das Zertifikat auf dem Token ist wird die PIN der SmartCard abgefragt

sobald ein EAP-Request kommt, danach gibt es aber vom PC keinen EAP Response mehr, aber auch keine Fehlermeldung.

Der Switch sendet immer wieder den EAP Request und ich werde immer wieder nach der PIN gefragt, das wars.

Die Umgebung sind folgender maßen aus:

1x Server 2003 (Enterprise) DC + IAS

1x Stammzertifizierungstestelle Server 2003 (Enterprise)

1x Zwischenzertifizierungstelle Server 2003 (Enterprise)

Client ist eine XP SP 2 Maschine.

Alle Maschinen haben den aktuellen Patschstand (Die Server haben auch schon das SP2).

Als Authenticator kommt ein Cisco Switch zum Einsatz.

Verwendetes Protokoll zur Authentifizierung ist EAP-TLS.

Domänenfunktionsebene 2003

Die Zertifikate im lokalen Zertifikatspeicher sind

kopie von volage Benutzer (enthält UPN)

kopie von vorlage Computer (enthält DNS-Name)

Auf dem E-Token habe ich bereits an Zertifikaten probiert =>

SmartCard-Anmeldung

SmartCard-Benutzer

über das Webinterface auf die SmartCard eingespielt.

1x als Domänenadmin

1x mit Registrierungs Agent

=> ohne Erfolg.

Benutzerzertifikat mit Private Key exportiert und auf e-Token importiert.

=> ohne Erfolg.

Im ADS die SmartCard Anmeldung aktiviert => ohne Erfolg.

Der Login mit der SmartCard am Betirebsystem funktioniert problemlos.

Das der Token defekt ist kann ich eigentlich ausschliessen.

So falls ich irgendwas vergessen habe bitte fragen.

Vielleicht hat jemand noch die ein oder andere Idee.

Danke im voraus!

MfG

Kai

Hi,

ist der server komplett aus, oder hat er einen neustart gemacht?

ist es immer um die selbe Uhrzeit ?

irgendwelche Tasks die nachts durchlaufen?

vielleicht die USV die einen Selbsttest macht und eine kaputte batterie hat ?

mfg

kai

Hi,

Ader 4 und 5 werden für dsl benötigt!

mfg

Kai

Hi,

ist auf dem Switch die aktuelle Firmware ?

evtl. erstmal mit dem Support telefonieren vielleicht ist das Problem schonmal jemand begegnet.

naja bei 10 Clients hat die Storm Control eher nix mit zu tun.

die verhindert dass der Switch mit massenhaft Broadcasts aus dem tritt gebracht wird und dann entweder ganz den Betrieb einstellt oder auch nur noch als HUB agiert!

mfg

kai

Hi,

du könntest einen netzwerkscanner am rechner der das paket schickt mitlaufen lassen und gucken was er meldet. (z.b. wireshark ehemals packetyzer)

Broadcast Storm Control könnte vielleicht auch noch ein Ansatz bei deinem Switch sein.

Wird das WOL Paket nur an einen Rechner geschickt oder an mehrere ?

mfg

kai

Hi,

die PCs können aber miteinander kommunizieren (Ping)?

dem switch hast du eine IP Adresse aus eurem Bereich gegeben?

mfg

kai

Hi,

wer verschickt die wake on lan pakete?

sind die pc's im gleichen subnetz?

mfg

kai

Hi,

:shock: bitte den Beitrag editieren, sowas kannst du doch nicht machen ?

Ich meine es ist schön den leuten erstmal zu vertrauen aber das Sicherheitsrisiko sehe ich doch wesentlich zu hoch an.

Ich glaube man kann dir auch ohne direkten Zugriff auf die Konfig helfen!

mfg

kai

Hi,

der Dienst „Konfigurationsfreie Drahtlose Verbindung“ muss aktiviert sein.

mfg

kai

Hi,

Zertifikate sind eine der sichersten Möglichkeiten zur Authentifizierung.

das Zertifikat sollte wenn möglich auf einem geschützten Medium abgelegt werden.

z. B. einer SmartCard.

Übertrieben gesagt:

zu vergleichen mit Menschen die sich ihr Passwort zur Anmeldung mit einem Post-It ans TFT kleben!

mfg

kai

Hi,

das höchste Maß an Sicherheit würde wohl ein l2tp+ipsec tunnel, mit einer EAP-Variante zur Authentifizierung bieten. Aber das Zertifikat im lokalen Zertifikatsspeicher ist nicht optimal!

hier ein guter Überblick

Virtual Private Networks

mfg

kai

Hi,

also Gruppenrichtlinien kannst du nur in Verbindung mit Active Directory nutzen.

wie lefg schon gepostet hat kannst du unter gruppenrichtlinien.de schonmal grundsätzliche Dinge anlesen.

Ansonsten musst du dir überlegen, ob du dich damit auseinander setzen willst, wenn dann rate ich zu einem guten buch!

z.b. von Tierling zum Server 2003

Windows Server 2003 R2 von Eric Tierling erschienen bei Addison-Wesley

mfg

kai

Hi,

am User musst du nicht allzu viel Einstellungen vornehmen.

Der User braucht Einwahlberechtigungen und du kannst ihn für die RAS-Richtlinien schonmal in eine eigene OU setzen.

Grundsätzlich musst du dir erstmal aussuchen welche Authentifizierungs-Methode du verwenden willst, davon ist abhängig ob du mit Passwörten oder Zertifikaten usw. arbeitest.

Hier ein paar links:

Microsoft Corporation

geht zwar um access points dafür exakt auf den sbs zugeschnitten.

Microsoft Corporation

hier die Möglichkeiten zur Authentifizierung.

gruß

kai