jkarl

Lösung des ganzen: Eigentlich gibt es gar keine wirkliche Lösung. Wir haben jetzt eine Computergruppe erstellt, in der die betreffenden Computer sein müssen. Desweiteren bekommen die Computer auch Arbeitsstationszertifikate. Somit kann sich zwar jeder Domänenuser über das WLAN mit einem bestimmten Gerät anmelden, aber das ist in Ordnung in unserem Fall. Ebenso musste an den PCs eingestellt werden, das diese sich ausschließlich als Computer über das WLAN identifizieren. Diese Einstellung haben wir dann per GPO an die betroffenen PCs weitergegeben. Vlt. hilft diese Information ja noch irgendwann mal jemanden MfG

Ich habe gestern noch in einem MSPress Buch über Zertifikate gelsen, das ausschließlich Domänen PCs via Copmuter Zertifikate authentifiziert werden können. Ein nicht Domänen Gerät (Smartphone) hingegen kann sich nicht als ein Domänen PC ausgeben. Hierfür muss dann ein Userzertifikat genutzt werden. Zwar nicht was du hören wolltest, aber das sollte die Erklärung sein. MfG Johannes

Uhhmm...hatte nach dem Updatenamen (habe das hier als Datei) gegoogelt. Ich gehe ganz stark davon aus, dass du mit nem neuerem auch keine Probleme haben wirst :cool: Sorry für den "alten" Link ;) Edit: vlt. für dich auch interssant: http://blog.icewolf.ch/archive/2010/12/31/How-Automatic-Root-Certificates-Update-works-in-Vista-Windows-7.aspx

Habe ich regelmäßig bei Windows 7 SP1 installationen die sich nicht bei MS aktualiseren können. Ich muss das hier von Hand installieren: Detail Seite Update für Stammzertifikate [Mai 2009] (KB931125) Hoffe das es hilft, MfG Johannes

Hallo, ich habe mein Smartphone (Android) mit meim Zertifikat an unserem WLAN anmelden können. Dafür habe ich folgendes HowTo benutzt: How to connect an Android phone to Windows CA certificate IAS 802.1x wireless network « A Web That Works Hoffe das es dir auch woanders weiter helfen kann, MfG Johannes

Hallo, das Zertifikat ist ja dafür da um jemanden genau zu identifitzieren. Daher ist es nicht vom Vorteil ein Zertifikat auf mehreren Smartphones einzusetzen. Es muss je User ein eigenes sein. Du möchtest ja auch nicht das sich https://www.paypal.com bei dir durch ein Zertifikat als https://www.ebay.de ausgibt. ;) Das ist der Grund warum viele PEAP - EAP-MSCHAP v2 verwenden. Da muss sich der Benutzer direkt mit seinem Namen und Passwort (Domäne) anmelden. Hoffe das hilft ein klein wenig weiter bei deinen Gedanken. MfG Johannes P.S. ich lass mich immer gern eines besseren belehren, wenn ich Mist erzählt habe :wink2:

Hallo Forengemeinde, wir haben einen 2008 R2 Enterprise Server als DC mit NPS ausgestattet. Wir mit ihm die WLAN Zugriffe regeln. Wir haben einen Cisco Konzentrator der die Radiusabfragen an den NPS leiten. Dieses funktioniert auch einwandfrei. Desweiteren haben wir unser Notebook (Windows XP Pro und Domänenmitglied) erfolgreich mit PEAP und EAP-MSCHAP v2, PEAP und Zertifikat und nur mit Zertifikat verbinden können. :cool: Nächste Hürde: wie kann ich nicht Domänencomputer ausschließen? Wir die Netzwerkrichtlinie angepasst das der Benutzer in einer Gruppe im AD sein muss UND das der Rechner in der Gruppe dom\Domänencomputer sein muss. Leider schlägt dann immer die Verbindung fehl. Ich habe auch mit gpresult überprüft ob der Rechner in der richtigen Gruppe ist, ist er auch. Sobald ich die Regel wieder entferne geht alles. Hat jemand so etwas schon mal erlebt und behoben? Falls mehr Infos benötigt werden, gebe ich diese gerne. MfG Johannes

Stimmt... ganz vergessen

Ich glaube langsam verstehe ich. Ich würde sagen "Nein, der Switch greift nicht auf den Datenserver zu, sondern sendet ein anonymes Datenpaket an eine bestimmte IP Adresse. Hierfür ist ist keine autentifizierung Seitens des Servers nötig." Ich habe natürlich nebenher weiter gewuselt und dies hier gefunden: Hierzu würde ich dann sagen "Ja der Switch kann individuell identifiziert werden, da er ja eine eigene IP Adresse und Mac Adresse hat, was aber erst nach erhalt und Ablage des Datenpaketes erfolgen kann." Ich muss ja wissen welcher Switch gerade ein Defekt hat. Der Server würde aber erstmal alle Datenpakete annehmen.

Der Switch sendet bei einer Statusänderung ein bestimmtes Datenpaket an den Server. Dieses wird vom Server über Port 162 empfangen und, zum Beispiel, in eine Logdatei geschrieben. Hilft das zur Klärung der Sachlage?

Da ein SNMP Trap ja UDP ist, wird er natürlich noch abgesetzt vom Switch. Der Server kann durch das fehlende Kabel nur kein Protokolleintrag machen, also bekomme ich nicht mit ob was defekt ist. Was sagt das dann aus :confused: Sorry wenn ich zu naiv an die Thematik herangehe, aber an dieser Stelle habe ich starke Verständissprobleme :mad:

Danke für die Antwort und für das Dokument. In dem Dokument wird oft von Geräten geredet. Was zeichnet ein solches denn aus? Unsere Geräte haben keinen Benutzer der dieses Gerät verwendet. Das Clientgerät melet sich auch nur einmal beim Server an und dieser sendet dann bei Bedarf die Daten an das Gerät. Scenario das uns hierbei eingefallen ist: Auf einem Windows Server 2003 läuft ein Dienst der SNMP-Traps empfangen und auswerten kann. Im Netzwerk gibt es eine unbestimmte Anzahl von Switches die einen SNMP-Trap an den Server absetzen. Wird für jeden Switch (Gerät) eine CAL benötigt?

Hallo MCSEBoard-Gemeinde. Auf der suche nach einer Antwort bin ich auf dieses Forum gestoßen, konnte aber noch keine passende Antwort finden. Unser Scenario sieht wie folgt aus: Wir haben mehrere Server mit jeweils Windows Server 2003 Standard (OEM Produkt des Hardwareherstellers) installiert. Auf diesem Server läuft ausschließlich ein Dienst aus unserem Hause. Desweiteren gibt es eine unbstimmte Anzahl an PCs mit Windows XP Embedded (kleine PC104 Boards). Auch auf diesem Produkt läut ein eigenprogramierter Dienst als Client. Jeder Client greifft über eine TCP Verbindung auf den Serverdienst zu. Es werden aber keine weiteren Windows Dienste genutzt. Da es sich oft um Clients handelt die über ein UMTS Modem Verbunden sind, sind im Router auch nur die Ports unserer eigenen Appliaktion weitergeleitet. Somit kann eine Nutzung von Microsoft Diensten ausgeschlossen werden. Jetzt zu meiner Frage: Muss ich für jeden XP Embedded Client eine CAL besitzen? Falls ich mich etwas unglücklich ausgedrückt habe, beantworte ich gerne jede Frage. Vielen Dank im Vorraus, MfG Johannes