jkarl
-
Gesamte Inhalte
13 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von jkarl
-
-
Und genau das soll nicht passieren. Es sollen Geräte authentifiziert werden und keiner Benutze. Das Gerät soll sich also ohne handeln eines Benutzer mit Aufnahme der Verbindung authentifizieren. So habe ich es bisher, nur dass das Ganze nur bei Domänenmitgliedern funktioniert. Was ist aber mit Geräten, die ich nicht in die Domäne kriege (Smartphones zb)? Und da kommt das Webinterface ins Spiel. Nur kriege ich es eben nicht hin, funktionsfähige Computerzertifikate übers Webinterface zu beziehen:(
Ich habe gestern noch in einem MSPress Buch über Zertifikate gelsen, das ausschließlich Domänen PCs via Copmuter Zertifikate authentifiziert werden können. Ein nicht Domänen Gerät (Smartphone) hingegen kann sich nicht als ein Domänen PC ausgeben. Hierfür muss dann ein Userzertifikat genutzt werden.
Zwar nicht was du hören wolltest, aber das sollte die Erklärung sein.
MfG Johannes
-
Danke für die Antwort.
Muss es zwingend die vom Mai 2009 sein, oder reicht hier die letzte?
Uhhmm...hatte nach dem Updatenamen (habe das hier als Datei) gegoogelt. Ich gehe ganz stark davon aus, dass du mit nem neuerem auch keine Probleme haben wirst :cool:
Sorry für den "alten" Link ;)
Edit: vlt. für dich auch interssant: http://blog.icewolf.ch/archive/2010/12/31/How-Automatic-Root-Certificates-Update-works-in-Vista-Windows-7.aspx
-
Bei der Installation bekomme ich immer die Fehlermeldung, das die data1.cab eine fehlerhafte Signatur aufweist und es ein Hinweis ist, das diese korrupt sei.
Habe ich regelmäßig bei Windows 7 SP1 installationen die sich nicht bei MS aktualiseren können. Ich muss das hier von Hand installieren:
Detail Seite Update für Stammzertifikate [Mai 2009] (KB931125)
Hoffe das es hilft,
MfG Johannes
-
Ist es möglich unter Windows IAS und Active Directory eine EAP-TLS-Authentifizierung zu realisieren, ohne, dass die anzumeldenden Clientgeräte in der Domäne angemeldet werden müssen? Was mache ich z.B. bei Linuxgeräten o.ä.? 802.1X ist doch eigentlich ein Standard?
Hallo,
ich habe mein Smartphone (Android) mit meim Zertifikat an unserem WLAN anmelden können. Dafür habe ich folgendes HowTo benutzt:
Hoffe das es dir auch woanders weiter helfen kann,
MfG Johannes
-
Wenn ich dann ein Zertifikat auf mehrere Smartphones exportieren melden sich ja zig Smartphones mit dem gleichen Namen an???
Hallo,
das Zertifikat ist ja dafür da um jemanden genau zu identifitzieren. Daher ist es nicht vom Vorteil ein Zertifikat auf mehreren Smartphones einzusetzen. Es muss je User ein eigenes sein. Du möchtest ja auch nicht das sich https://www.paypal.com bei dir durch ein Zertifikat als https://www.ebay.de ausgibt. ;)
Das ist der Grund warum viele PEAP - EAP-MSCHAP v2 verwenden. Da muss sich der Benutzer direkt mit seinem Namen und Passwort (Domäne) anmelden.
Hoffe das hilft ein klein wenig weiter bei deinen Gedanken.
MfG Johannes
P.S. ich lass mich immer gern eines besseren belehren, wenn ich Mist erzählt habe :wink2:
-
Hallo Forengemeinde,
wir haben einen 2008 R2 Enterprise Server als DC mit NPS ausgestattet. Wir mit ihm die WLAN Zugriffe regeln. Wir haben einen Cisco Konzentrator der die Radiusabfragen an den NPS leiten. Dieses funktioniert auch einwandfrei. Desweiteren haben wir unser Notebook (Windows XP Pro und Domänenmitglied) erfolgreich mit PEAP und EAP-MSCHAP v2, PEAP und Zertifikat und nur mit Zertifikat verbinden können. :cool:
Nächste Hürde: wie kann ich nicht Domänencomputer ausschließen?
Wir die Netzwerkrichtlinie angepasst das der Benutzer in einer Gruppe im AD sein muss UND das der Rechner in der Gruppe dom\Domänencomputer sein muss. Leider schlägt dann immer die Verbindung fehl. Ich habe auch mit gpresult überprüft ob der Rechner in der richtigen Gruppe ist, ist er auch. Sobald ich die Regel wieder entferne geht alles.
Hat jemand so etwas schon mal erlebt und behoben? Falls mehr Infos benötigt werden, gebe ich diese gerne.
MfG Johannes
-
SNMP Traps haben ja eine Community zur Authentifizierung.
Stimmt... ganz vergessen
-
Habe ich es richtig verstanden dass der Switch auf den Server zugreift um die Datenpakete dort abzulegen?
Ich glaube langsam verstehe ich. Ich würde sagen "Nein, der Switch greift nicht auf den Datenserver zu, sondern sendet ein anonymes Datenpaket an eine bestimmte IP Adresse. Hierfür ist ist keine autentifizierung Seitens des Servers nötig."
Ich habe natürlich nebenher weiter gewuselt und dies hier gefunden:
Sie benötigen keine CALs für Folgendes:(1) einen Nutzer oder ein Gerät, der bzw. das nur über das Internet auf Ihre Instanzen der Serversoftware zugreift, ohne von der Serversoftware oder durch eine andere Methode authentifiziert oder anderweitig individuell identifiziert zu werden
Ausszug aus "MicrosoftProductUseRights(Worldwide)(German)(July09)CR.doc"
Hierzu würde ich dann sagen "Ja der Switch kann individuell identifiziert werden, da er ja eine eigene IP Adresse und Mac Adresse hat, was aber erst nach erhalt und Ablage des Datenpaketes erfolgen kann." Ich muss ja wissen welcher Switch gerade ein Defekt hat.
Der Server würde aber erstmal alle Datenpakete annehmen.
-
Der Switch sendet bei einer Statusänderung ein bestimmtes Datenpaket an den Server.
Zitat Wikipedia:TRAP, unaufgeforderte Nachricht von einem Agenten an den Manager, dass ein Ereignis eingetreten ist. Programme wie Wireshark, die zum Dekodieren von Protokollen wie SNMP benutzt werden, nennen dieses Datenpaket auch REPORT. Ein TRAP kann nämlich auch geschickt werden, wenn die in einem SET-Datenpaket beschriebene(n) Datensatzänderung(en) nicht durchgeführt werden konnte(n), und nicht nur, um eine Fehlfunktion (z. B. einen Defekt eines Moduls eines Netzelements) zu melden.
Dieses wird vom Server über Port 162 empfangen und, zum Beispiel, in eine Logdatei geschrieben.
Zitat Wikipedia:Wenn der Agent bei der Überwachung des Systems einen Fehler erkennt, kann er diesen mit Hilfe eines Trap-Paketes unaufgefordert an die Management-Station melden. Diese Pakete werden nicht vom Manager bestätigt. Der Agent kann daher nicht feststellen, ob der Trap beim Manager angekommen ist.
Hilft das zur Klärung der Sachlage?
-
Es ist einfach:
Wenn du das Netzwerkkabel von dem Server abziehst und er Switch dnan immer noch die Traps ablegen kann greift er nicht auf den Srever zu und benötigt keien CAL.
Wenn er aber auf den Server zugreift (wofür das Kabel am Server drann sein muss) braucht er eine CAL.
Da ein SNMP Trap ja UDP ist, wird er natürlich noch abgesetzt vom Switch. Der Server kann durch das fehlende Kabel nur kein Protokolleintrag machen, also bekomme ich nicht mit ob was defekt ist. Was sagt das dann aus :confused:
Sorry wenn ich zu naiv an die Thematik herangehe, aber an dieser Stelle habe ich starke Verständissprobleme :mad:
-
Danke für die Antwort und für das Dokument. In dem Dokument wird oft von Geräten geredet. Was zeichnet ein solches denn aus? Unsere Geräte haben keinen Benutzer der dieses Gerät verwendet. Das Clientgerät melet sich auch nur einmal beim Server an und dieser sendet dann bei Bedarf die Daten an das Gerät.
Scenario das uns hierbei eingefallen ist:
Auf einem Windows Server 2003 läuft ein Dienst der SNMP-Traps empfangen und auswerten kann. Im Netzwerk gibt es eine unbestimmte Anzahl von Switches die einen SNMP-Trap an den Server absetzen. Wird für jeden Switch (Gerät) eine CAL benötigt?
-
Hallo MCSEBoard-Gemeinde.
Auf der suche nach einer Antwort bin ich auf dieses Forum gestoßen, konnte aber noch keine passende Antwort finden.
Unser Scenario sieht wie folgt aus:
Wir haben mehrere Server mit jeweils Windows Server 2003 Standard (OEM Produkt des Hardwareherstellers) installiert. Auf diesem Server läuft ausschließlich ein Dienst aus unserem Hause.
Desweiteren gibt es eine unbstimmte Anzahl an PCs mit Windows XP Embedded (kleine PC104 Boards). Auch auf diesem Produkt läut ein eigenprogramierter Dienst als Client.
Jeder Client greifft über eine TCP Verbindung auf den Serverdienst zu. Es werden aber keine weiteren Windows Dienste genutzt. Da es sich oft um Clients handelt die über ein UMTS Modem Verbunden sind, sind im Router auch nur die Ports unserer eigenen Appliaktion weitergeleitet. Somit kann eine Nutzung von Microsoft Diensten ausgeschlossen werden.
Jetzt zu meiner Frage: Muss ich für jeden XP Embedded Client eine CAL besitzen?
Falls ich mich etwas unglücklich ausgedrückt habe, beantworte ich gerne jede Frage.
Vielen Dank im Vorraus,
MfG Johannes
NPS für WLAN Zugriff konfigurieren
in Windows Server Forum
Geschrieben
Lösung des ganzen:
Eigentlich gibt es gar keine wirkliche Lösung. Wir haben jetzt eine Computergruppe erstellt, in der die betreffenden Computer sein müssen. Desweiteren bekommen die Computer auch Arbeitsstationszertifikate. Somit kann sich zwar jeder Domänenuser über das WLAN mit einem bestimmten Gerät anmelden, aber das ist in Ordnung in unserem Fall.
Ebenso musste an den PCs eingestellt werden, das diese sich ausschließlich als Computer über das WLAN identifizieren. Diese Einstellung haben wir dann per GPO an die betroffenen PCs weitergegeben.
Vlt. hilft diese Information ja noch irgendwann mal jemanden
MfG