cjmatsel

Hallo liebe Community, Ein HP-Spezialist hat wohl erfahren dass Microsoft das Produkt NPS aussterben lassen möchte... Weiß jemand etwas von euch darüber? cu cj

Hallo NilsK: Wo finde ich mehr zu dem Thema?

Hi, ich weiß ehrlich überhaupt nicht an wen ich mich mit dem Problem wenden kann: Ich habe in unserer Windows-Domäne einen iMac integriert. Das hat soweit geklappt, aber ich möchte jetzt nicht jedes Mal den lokalen Admin eingeben müssen um eine Software zu installieren. Meine Idee: Ich möchte gern unserer Admin-Gruppe das Recht geben den iMac zu verwalten. Kennt so etwas jemand und kann mir ggf. helfen?

Ja, aber auch 802.1X als bessere Authentifizierung impliziert dass das VPN steht: Ergo gleiches Problem...

Hi, ohne VPN sind meine Filialen "arbeitslos".

Ich möchte erreichen dass auch in den Filialen eine netzwerkbasierte Authentifizierung statt findet, da diese sonst möglicherweise eine Angriffsfläche darstellen. Zugegeben: es sind nur wenige und relativ kleine Filialen, aber wenn ich schon netzwerkbasierte Authentifizierung einführe warum nicht auch dort? Wie löst Du das Problem?

Hi, wie seht ihr das? Ist es sinnvoll MAC-Authentifizierung und DHCP mittels Relay durch VPNs hindurch zu gestalten? Ich habe immer die Befuerchtung dass das VPN mal nicht zur Verfuegung steht; der Vorteil waere die Zentralisierung... :-/ Wie macht ihr das?

So: mittels VBS-Script und ein paar Kommandozeilen und Excel alle Mac-Adressen ausgelesen, gesäubert, mit Computernamen versehen, ins AD gepumpt, VLAN-Gruppen angelegt und NPS konfiguriert. Läuft! So stelle ich mir Administration vor! edit: das User Identity Attribute musste ich gar nicht setzen, keine ahnung was die da meinten...

Hallo magheinz, ca. 600... Ich teste gerade MAC-Authentifizierung mit NPS und lese immer wieder etwas von einem User Identity Attribute, aber nirgendwo steht erklärt wie genau das zu setzen ist. Normalerweise ist das laut https://technet.microsoft.com/de-de/library/dd197523(v=ws.10).aspx ein Reg-eintrag, doch nix vom Datentyp; beim Eintragen als REG-SZ streikt auf jeden Fall mein NPS-Dienst... :-/ Hat das jemand von euch schonmal eingerichtet?

@magheinz: Das hatte ich mir schon gedacht; ich hatte gehofft diese Einstellung am Switch nicht nutzen zu müssen und stattdessen das global auf dem Radius lösen zu können...

@lefg: Jetzt verstehe ich Deine Frage nicht: was meinst du damit WO freeradius eingerichtet wurde? Auf einem normalen Server... außerdem ist das WO eigentlich unrelevant, das interessante ist die Frage WIE man ein AuthFail-Vlan (oder ähnliches) im konfigurieren und nutzen kann. Beim Switch kann man ja einfach bei AuthFail das vlan 1 vergeben; geht das auch bei einem Radius-Server?

Hallo allerseits, ich bin aktuell wieder ein kleines Stück weitergekommen: Ich habe Freeradius mit MAC-Authentifizierung eingerichtet und es funktioniert: Anhand der MAC-Adresse wird das richtige VLAN zugewiesen und das Gerät kann problemlos im entsprechenden Netz kommunizieren. Jetzt ein paar kleine Detailfragen: - Kann man auch MAC-Vendors in Freeradius nutzen? Quasi als Gruppe? Das würde mir die Verwaltung erheblich vereinfachen: Ein client würde in die passende Gruppe geschubst und bekommt automatisch eine passende VLAN mit... - Kann man ein Default-VLAN mitgeben für alle Geräte welche sich nicht authentifizieren können? Ein "Auth-Fail-VLAN" direkt auf dem HP-V1910-Switch scheint die Kommunikation vollständig zu blockieren, daher hatte ich hier an eine Einstellung im Freeradius gedacht... @lefg: Wäre das evtl. mit dem VLAN 1möglich, wenn man kein "Auth-Fail-VLAN" konfiguriert? - Kann man unbekannte MACs sofort melden lassen? Quasi vom Freeradius zum Admin? Lieben Dank für die ein oder andere Antwort...

Hi, ursprünglich dachte ich tatsächlich nur ein reines logisches IP-Netz aufzubauen. Doch nach den selbst getesteten und hier geschriebenen Problemen wird es tatsächlich ein VLAN UND ein IP-Netz werden; natürlich mit Firewall davor (Da die Drucker nur zu sehr wenigen Servern über wenige Protokolle kommunizieren müssen halte ich das als Sicherheit für vertretbar). Leider bleibt das Problem: Weder meine IGEL-Clients noch meine Kyocera-Drucker sprechen VLAN... Einzig die Switche könnten VLAN nach Mac-Vendor fahren; aber immer nur Eines und eig. als Voice-VLAN vermarktet... Bleibt tatsächlich: Entweder Geld in teure Switche investieren (und aktuell trotzdem raten wie das dort geht) oder jeden verdammten Switch-Port einzeln einstellen... :-/

Hmm, wenn die Geräte selbst kein VLAN können?

Also machst Du VLAN in dem Fall nicht pro Gerätetyp sondern pro Etage... Und feste IPs für Drucker sind interessant wenn ein Dienstleister das Gerät tauschen muss, gelle...

Hi zahni, Nimmst Du für solche Fälle auch farbige Kabel oder teilst Du den Switch in Bereiche ein? Ich habe ehrlich gesagt alles durcheinander gesteckt... Welche MAC in welchem Port ist kann man glücklicherweise aus der MAC-Table auslesen...

Hi, ich wollte mich gern mal zu dem Thema zurück melden. DHCPRelay ist aktiviert und arbeitet problemlos; Sowohl DHCP-Server als auch Firewall sind mittlerweile erheblich modernisiert; beim aktuellen DHCP-Server haben wir Richlinien eingesetzt welche IPs nach Mac-Vendor aus bestimmten (selbst erstellten) Gruppen vergeben. Mein eigentliches Problem bleibt leider: Die Netztrennung zwischen Drucker, PCs und Thinclients... Also VLANs für Geräte zu nutzen die von sich kein Tagged-VLAN können. An Switchen kann man zwar VLANs pro Mac-Vendor setzen, aber soweit ich gesehen habe immer nur Eines; das nennt sich dann meist irgendwas mit Voice-VLAN usw... Falls jemand ein paar Anregungen hat außer: "hol Dir jemanden ins Haus der das macht" wäre ich sehr verbunden; bis jetzt findet sich kaum jemand der das Thema vernünftig auch nur erklären kann ohne gleich mit teurer Cisco-Hardware im Angebot anzurücken...

Hi, der Cisco-WLC kann problemlos Radius. Vermutlich bin ich selbst nur zu unwissend um es zum Laufen zu bringen... Es gab meines Wissens auch eine Anleitung hierzu...

Hi, ganz lieben Dank! Wir haben einige ältere Cisco-APs flashen lassen so dass diese zu managed APs wurden. Dazu haben wir weitere Managed APs gekauft und haben alles in der WLC mit VLANs drin: Unsere Gäste haben ein VLAN und kommen uns mit dem Werkstatt-Netz nicht in Berührung. Jedoch hat mein Azubi auf meinen Auftrag hin mit einem PineApple-board versucht unser internes WLAN zu hacken und wir haben uns über das Thema ausgetauscht; daher bin ich mir über die bisherige Lösung mittels WPA2-PSK sehr unsicher: bei einem gestohlenen Gerät oder einem einzigen (kriminellen) Mitarbeiter wäre der PSK für alle Geräte kompromittiert. Radius hatte ich auch schon überlegt; jedoch wäre es schön wenn der Mitarbeiter nichts extra eingeben müsste. Mit einer Domain mit Maschinen-Zertifikaten als Radius-Authentifizierung könnte ich mir die aktuell beste Lösung vorstellen; leider wüsste ich nicht wie man genau so etwas einrichtet. Radius mit PSK (also jeder hat seinen eigenen Account) habe ich im WLC probiert bin aber bisher nicht erfolgreich gewesen; wahrscheinlich entweder etwas überlesen oder zu wenig Erfahrung in der Materie...

Hi, ich weiß dass die Frage ein bisschen hinkt: WLAN und richtige IT-Sicherheit schließen sich nach Meinung vieler IT-Leute schlicht aus. Ich suche eine Möglichkeit unter Ausnutzung von Microsoft-Technologien, wenn das ginge, irgendwie Beides unter einen Hut zu bekommen. Ich habe folgendes Szenario: Ich betreue ein Werkstatt-WLAN mit Windows-7-Pro-Clients und einiger kleinen Spezialgeräte. Das WLAN enthält Zugänge zu anderen schützenswerten Bereichen. Allerdings sind hier erst weitere Hürden wie Firewall oder Authentifizierung zu nehmen. Im WLAN selbst findet keine NTLM- oder ähnliche Authentifizierung statt; die Clients hängen nicht in einer Domäne. Das WLAN wird mittels Cisco-WLC bereit gestellt; alle Geräte authentifizieren sich mittels WPA2-PSK. Die kleinen Spezialgeräte können nichts anderes als WPA2-PSK. Meine Idee: Ich baue eine eigene Domäne für die WLAN-Geräte auf. Die Geräte sollen dann in die Domäne gehoben werden. Besteht die Möglichkeit jetzt mittels Zertifikaten o.ä. zusätzlich zum WPA2 zu arbeiten? Wie verhält sich das mit den IP-Adressen? Sprich: Habe ich dann ein 2. IP-Netz? Gibt es evtl. Microsoft-Empfehlungen, Leitfäden o.ä. welche hier helfen könnten oder ist das evtl. mit dem Cisco-WLC allein lösbar und sinnvoll? Wie gehe ich mit den Spezial-Geräten um, sprich: Wie kann ich dafür sorgen dass die Geräte trotzdem noch untereinander (mit den Win7-Geräten) kommunizieren können? Wie macht ihr das? Reicht evtl. WPA2 doch locker aus und ich sollte mir da keine weiteren Gedanken machen? Ich weiß dass das recht viele Fragen sind; aber vielleicht mag der ein oder andere hier mal ebenso brainstorm-mäßig was in den Raum werfen worüber man diskutieren kann... cu cjmatsel

Problem gelöst: Wenn man einen Bereich anlegt und diesen hinterher vergrößert, so muss man unbedingt den betroffenen Adresspool prüfen und aktualisieren (mit der rechten Maustaste). Dann werden auch die noch freien IP-Adressen vergeben... Angezeigt in der Statistik werden sie vorher aber trotzdem, nur eben nicht vergeben... Es gibt hierzu auch passend Fehlereinträge im Ereignisprotokoll...

Hallo NilsK, ich beziehe mich hier nicht auf VLANs. Der bezugnehmende Thread wurde von jemand anderem geteilt; auch wenn die Netzkonstellation zusammen gehört haben die beiden Threads nichts miteinander zu tun. Meine erstgestellte Frage bleibt daher bestehen: Gibt es jemanden der Details zu W2k12-DHCP mit Richtlinien (genauer: Scope-Richtlinien) kennt? Ist es möglich einen Teil eines Subnetzes mit Richtlinien zu vergeben und einen Teil des gleichen Subnetzes nicht? cu, cjmatsel

Hi, ich bin gern bereit für ein konstruktives Gespräch; aber ich hatte soeben das Gefühl dass NilsK etwas nicht versteht und gleich meckert; warum hält er sich dann nicht einfach zurück?! Übrigens habe ich hier keinen Dienstleister der ein passendes Konstrukt so umsetzen kann; vor allen Dingen möchte ich eben NICHT dass ein Dienstleister alles alleine umsetzt. Ich bevorzuge eher Dienstleister welche mich lehren wie ICH das umsetzen kann. Es wäre schön wenn mir meine Frage von oben jemand erklären könnte oder mir einen Hinweis zum Nachlesen zu dem Thema gibt. Im Gegenzug wiederhole ich gern meine Aussage: Wenn ein Dienstleister oder ein anderer Experte hier im Forum ist und das mit mir umsetzen möchte so darf er mich gern unterstützen; soll auch weder umsonst noch kostenlos sein. Bis dahin stelle ich meine Frage gern wieder in den Raum... cu, cjmatsel

Das Gemecker ist jetzt echt unschön! So etwas erwarte ich hier nicht, steckt euch das bitte! Ich beziehe mich auf meinen vorherigen Thread; die anleitung gibt es von hier: https://msdn.microsoft.com/de-de/library/dn425039(v=ws.11).aspx Und nein, VLANs hätte bei der Masse an Geräten immer noch nicht funktioniert. Aber Du bist gern herzlich eingeladen eine Aufwandsabschätzung abzugeben und dass bei mir umzusetzen... Es wäre schön wenn sich jemand ernsthaft mit Windows 2012 DHCP befasst hat und mir evtl. etwas dazu sagen kann...

Hi, ich werde irgendwie nicht ganz schlau aus meinem Problem und benötige mal den einen oder anderen Tipp: Ich habe einen W2k12-DHCP-Server mit einem Bereich. Jetzt habe ich eine Richtlinie erstellt welche sagt: Wenn die MAC-Adresse XYZ beginnt dann vergib IP-Adressen von 1-50. eine weitere Regel sagt: Wenn die MAC ABC ist dann vergib Adressen von 51-100. Jetzt möchte ich ohne Richtlinie den Rest der IP-Adressen allen anderen MAC-Adressen zuweisen; leider scheint der DHCP-Server gar nicht zu antworten... Kennt ihr das Problem? Wie löst ihr das? cu, cjmatsel