MrHacke

Oder weis jemand wie ich den NPs konfigurieren muss damit er auf Zertifikate prüft?

Also ich ich hab hier ein Cisco 3750 mir den für die RADIUS NAP/NPS konfiguriert habe. Das spielt aber ja auch alles keine Rolle. Ich möchte wissen ob es eine auf WIndows basierende Möglichkeit gibt oder überhaupt eine Möglichkeit gibt eine Anmeldung über Zertifikate zu verhindern. Der PC hat ja auf jedenfall die Ip deshalb möchte ich das er an der Kiste nicht arbeiten kann. Und net Ip bringt so einiges. Man is im Netz kommt auf Freigaben, Konf zum Gateway....

JA genau aber sie erhalten mit der rihtigen MAc eine IP da wir kein DHCP mit MAc filter benutzen es gibt einfach nur einen dynmaischen bereich des weitern selbst wenn wir en mac filter würde der rechner die ip bekommen da eh ja Spooft. es soll einfach verhintder werden das sich ein rechner der nicht in der domäne ist nicht arbeiten kann sobald er mit dem Kabel inner buchse steckt. ich weis es gibt auch portsecurity. Ich möchte aber, wenn es sie gibt, eine portbasierende Lösung.

Gibt es da keine GPO die das prüft oder halt egal welcher pc direkt auf den Client pusht "Anmeldung nur mit zertifikat" Und auch egal welches computerkonto, der Pc läuft ja die Dienste auch dann kann man das zertifikat ja jeder zeit wieder auf den client senden.

Also, mein Ziel ich hab ein Client der über Radius auf die Mac geprüft wird. Da ich in NPS(RADIUS Microsoft) 0 durchsteige will ich nicht noch auf ein zertifikat per RADIUS prüfen... weis auch net ob das geht... Jetzt hab ich ja schon mal die sicherheit das nur die clienst mit richtiger mac eine IP bekommen. Jetzt kennt aber eine ne MAc und spooft die dann würde er ja auch eine ip bekommen. somit will ich nur computern mit einem Zertifikta, das sie bei der Anmeldung an die Domäne bekommen, die Anmeldung ermöglichen. Andere computer die dieses Zertifikat nicht bekommen können sich eben nicht anmelden. Ich weis halt nicht ob das geht weil das ja ein fremder Pc und ob man dann den dann einfach manipulieren kann.. Oder gibt es sonst noch eine Möglichkeit das man über Zertifikate (die cs ist installiert) so ähnlich etwas verhindern könnte?

gibt es eine Möglichkeit das man innerhalb einer Domäne sich nur an CLients Anmelden kann die auch in der Domäne sind? ALso ein Computerzertifikat was alle Clients in der Domäne erhalten und man sich nur mit diesem Zertifikat an dem PC anmelden kann.

richtig nur leider is dieses feld "ad registrieren" grau obwohl mein Benutzer in den oben genannten gruppen ist.

Nein ich habe die möglich keit über rechtsklich auf NPS(local) den server in der AD zu registrieren. Mitglied ist er schon. ICh brauche diese registration damit ich AD objekte verwenden kann.

HAllo, wie kann ich sehen ob sich der Server in AD registriert hat? BZw was muss ich alles beachten damit ich das kann. Mein NPS hat diese möglichkeit nämlich grau hinterlegt und ich weis nicht ob das daran liegt das ich es schon gemacht habe oder halt an was anderem? Angemeldet habe ich mit einem benutzer der in der Gruppe (Administratoren und Domänenadmins) ist.

Klingt nach den Zonen im DNS hast du mal auf die "Pointer" in der reverse geguckt?

Hallo, wie jemand von euch wie das technische Vorgehen heitßt. oder am besten noch wie man es macht. Ich möchte das sich clients ohne bestimmtes zertifikat nicht anmelden können. Das zertifikat erhalten clients automatisch bei der registrierung in der domäne. Kommt jetzt aber ein client ans netz der nicht an der domäne registriert ist soll dieser client nicht nutzbar sein. Man könnte ja mit vorhandenen Bneutzerkonten auch ohne registrierung an der Domäne alles nutzen. Das Möchte ich aber verhindern. Ich kennen die Fehlermeldung anmeldung ohne gültiges zertifikat nicht möglich. Aber wie man sowas konft weiis ich leider nicht...

Oder weis jemand wie ich überhaupt den MAc filter aktiviere und ne Mac liste irgendwo anlegen kann auf die dann der NPS zugreift?

Man muss einfach auf dem Server die Vorlage auswählen. Rechtsklick "doppel" diese dann anpassen Z.B.die User oder Computergruppe auswählen und bestätigen Dann muss man auf z.B. Zertifikatvorlage "ausstellende Zertifikatvorlage" auswählen auf dem Client starten man die mmc fügt das sanp in Zertifikat hinzu Rechtsklick auf eigene Zertifikate und Aktion "anfordern" wählen Dann erscheint erst das Zertifikat Hab jetzt nur noch das Problem das sich mein Winz Client das Zertifikat holen kann aber mein 2008 Enterprise keine verbindung zur Zertifizierungsstelle bekommt. warum auch immer DNS ist richtig konfiguriert (nslookup) aber ich komm einfach nicht zur Zertifikats auswahl.............

Hat von euch jemand Erfahrung damit gemacht? Ich möchte eine MAC-Access Liste auf dem RADIUS eintragen. Die dann über mit einem Cisco konfiguriert wird. Bzw liegt zurzeit ein MAC-Access Liste auf dem Cisco diese möchte ich aber Zentral auf einem Radius liegen haben. Und die Anfragen an den Switch sollen dann an den RADIUS weitergegeben werden. Die Serverrolle nennt sich Netzwerkrichtlinienserver!

Bin mittlerweile einen großen Schritt weiter also wenn interesse besteht kann ich euch ein Link geben.