MrHacke

Oder weis jemand wie ich den NPs konfigurieren muss damit er auf Zertifikate prüft?

Also ich ich hab hier ein Cisco 3750 mir den für die RADIUS NAP/NPS konfiguriert habe. Das spielt aber ja auch alles keine Rolle. Ich möchte wissen ob es eine auf WIndows basierende Möglichkeit gibt oder überhaupt eine Möglichkeit gibt eine Anmeldung über Zertifikate zu verhindern. Der PC hat ja auf jedenfall die Ip deshalb möchte ich das er an der Kiste nicht arbeiten kann. Und net Ip bringt so einiges. Man is im Netz kommt auf Freigaben, Konf zum Gateway....

JA genau aber sie erhalten mit der rihtigen MAc eine IP da wir kein DHCP mit MAc filter benutzen es gibt einfach nur einen dynmaischen bereich des weitern selbst wenn wir en mac filter würde der rechner die ip bekommen da eh ja Spooft. es soll einfach verhintder werden das sich ein rechner der nicht in der domäne ist nicht arbeiten kann sobald er mit dem Kabel inner buchse steckt. ich weis es gibt auch portsecurity. Ich möchte aber, wenn es sie gibt, eine portbasierende Lösung.

Gibt es da keine GPO die das prüft oder halt egal welcher pc direkt auf den Client pusht "Anmeldung nur mit zertifikat" Und auch egal welches computerkonto, der Pc läuft ja die Dienste auch dann kann man das zertifikat ja jeder zeit wieder auf den client senden.

Also, mein Ziel ich hab ein Client der über Radius auf die Mac geprüft wird. Da ich in NPS(RADIUS Microsoft) 0 durchsteige will ich nicht noch auf ein zertifikat per RADIUS prüfen... weis auch net ob das geht... Jetzt hab ich ja schon mal die sicherheit das nur die clienst mit richtiger mac eine IP bekommen. Jetzt kennt aber eine ne MAc und spooft die dann würde er ja auch eine ip bekommen. somit will ich nur computern mit einem Zertifikta, das sie bei der Anmeldung an die Domäne bekommen, die Anmeldung ermöglichen. Andere computer die dieses Zertifikat nicht bekommen können sich eben nicht anmelden. Ich weis halt nicht ob das geht weil das ja ein fremder Pc und ob man dann den dann einfach manipulieren kann.. Oder gibt es sonst noch eine Möglichkeit das man über Zertifikate (die cs ist installiert) so ähnlich etwas verhindern könnte?

gibt es eine Möglichkeit das man innerhalb einer Domäne sich nur an CLients Anmelden kann die auch in der Domäne sind? ALso ein Computerzertifikat was alle Clients in der Domäne erhalten und man sich nur mit diesem Zertifikat an dem PC anmelden kann.

richtig nur leider is dieses feld "ad registrieren" grau obwohl mein Benutzer in den oben genannten gruppen ist.

Nein ich habe die möglich keit über rechtsklich auf NPS(local) den server in der AD zu registrieren. Mitglied ist er schon. ICh brauche diese registration damit ich AD objekte verwenden kann.

HAllo, wie kann ich sehen ob sich der Server in AD registriert hat? BZw was muss ich alles beachten damit ich das kann. Mein NPS hat diese möglichkeit nämlich grau hinterlegt und ich weis nicht ob das daran liegt das ich es schon gemacht habe oder halt an was anderem? Angemeldet habe ich mit einem benutzer der in der Gruppe (Administratoren und Domänenadmins) ist.

Klingt nach den Zonen im DNS hast du mal auf die "Pointer" in der reverse geguckt?

Hallo, wie jemand von euch wie das technische Vorgehen heitßt. oder am besten noch wie man es macht. Ich möchte das sich clients ohne bestimmtes zertifikat nicht anmelden können. Das zertifikat erhalten clients automatisch bei der registrierung in der domäne. Kommt jetzt aber ein client ans netz der nicht an der domäne registriert ist soll dieser client nicht nutzbar sein. Man könnte ja mit vorhandenen Bneutzerkonten auch ohne registrierung an der Domäne alles nutzen. Das Möchte ich aber verhindern. Ich kennen die Fehlermeldung anmeldung ohne gültiges zertifikat nicht möglich. Aber wie man sowas konft weiis ich leider nicht...

Oder weis jemand wie ich überhaupt den MAc filter aktiviere und ne Mac liste irgendwo anlegen kann auf die dann der NPS zugreift?

Man muss einfach auf dem Server die Vorlage auswählen. Rechtsklick "doppel" diese dann anpassen Z.B.die User oder Computergruppe auswählen und bestätigen Dann muss man auf z.B. Zertifikatvorlage "ausstellende Zertifikatvorlage" auswählen auf dem Client starten man die mmc fügt das sanp in Zertifikat hinzu Rechtsklick auf eigene Zertifikate und Aktion "anfordern" wählen Dann erscheint erst das Zertifikat Hab jetzt nur noch das Problem das sich mein Winz Client das Zertifikat holen kann aber mein 2008 Enterprise keine verbindung zur Zertifizierungsstelle bekommt. warum auch immer DNS ist richtig konfiguriert (nslookup) aber ich komm einfach nicht zur Zertifikats auswahl.............

Hat von euch jemand Erfahrung damit gemacht? Ich möchte eine MAC-Access Liste auf dem RADIUS eintragen. Die dann über mit einem Cisco konfiguriert wird. Bzw liegt zurzeit ein MAC-Access Liste auf dem Cisco diese möchte ich aber Zentral auf einem Radius liegen haben. Und die Anfragen an den Switch sollen dann an den RADIUS weitergegeben werden. Die Serverrolle nennt sich Netzwerkrichtlinienserver!

Bin mittlerweile einen großen Schritt weiter also wenn interesse besteht kann ich euch ein Link geben.

Ich hab auf dem Client jetzt die Möglichket gefunden Zertifikate anzufordern. Jedoch erscheinen nicht alle die ich möchte. Wenn ich allerdings in das Kästchen "Alle Vorlagen anzeigen" einen Haken setze dann erscheinen alle die ich ausgewählt hatte. Nur sind diese für mich nicht zugänglich. Was kann man hier Einstellen.

Ich möchte im großen und ganzen nur wissen ob es eine möglichkeit gibt einem Computer der sich bei einer Domäne anmeldet automatisch ein Zertifikat zuweist. Womit ich mich aber auch zufrieden geben. Das sich der Client das Manuell abholt.SOmit müsste ich aber zumindestens mal hinbekommen das Zertifikate bereitgestellt werden. Auf meinem Client kann ich in der MMC Zertifikate Anfordern. Allerdings sind dort keine Zertifikate vorhanden obwohl ich auf dem Server schon 2-3 freigegeben haben müsste. Ich hab jetzt auch bei den GPO bzw Gp´s eine einstellung für den "Zertifikatdiensteclient" gefunden und die aktiviert allerdings weis ich nicht wem ich diese gpo jetzt zuweisen soll.

Hallo Ihr, ich hoffe wirklich das mir jemand von euch helfen kann. Mein Problem: Ich habe einen W2k8ES, der als DC, DHCP, DNS und ActiveDirectoryController arbeitet. Ich möchte erreichen das wenn ein Client in die Domäne eintritt er automatisch ein Zertifikat auf den Computer übermittelt bekommt. Dieses Zertifikat ist wichtig da es bei jedem weiteren Netzeintritt an verschiedenen Standorten vom einem RADIUS kontrolliert werden soll. UNd nur wenn das Zertifikat auf dem Client liegt wird man für die Domäne authentifiziert. Ich hab es schon über IIS und die Zertifizierungsstelle versucht, jedoch finde ich keine "Aktion" die es mir ermöglicht das Zertifikat auf den Client zu pushen. Es gibt zwar ein Kästchen das heißt "Zertifikat an Domäne übergeben" doch damit bekommen ich auch kein Ergebnis. AUf dem Client habe ich über die MMC das SnapIn Zertfikate hinzugefügt um zu kontrollieren ob es auf dem Client angekommen ist. Wäre froh wenn mir jemand helfen könnte;) PS. Falls ich im falschen Topic bin, bitte ich um entschuldigung.