TheLion092

Das Problem ist, dass viele Endgeräte in meinem "Betrieb" (Hochschule) nicht mit Zertifikaten umgehen können wie z.B. Stempeluhr, GLT Technik usw.

Guten Tag, kurz zu mir: Ich bin Azubi Fachinformatiker-Systemintegration und sitze derzeit an meinem Abschlussprojekt. Als Projekt habe ich die Evaluierung verschiedener Netzwerkrichtlinienenserver-Lösungen unter anderem auch Microsoft NPS. Dieser soll mit einem Cisco Switch Endgeräten dynamisch ein VLAN zuweisen. Als Anforderung ist in meinem Projekt ausschließlich MAC Authentisierung (im Produktivsystem später zusätzlich auch mit Zertifikat) vorgesehen. Nun, den NPS habe ich soweit auch schon zum laufen bekommen, dass er einem Endgerät am Switch dynamisch ein VLAN zuweist. Dafür muss man in der AD einen Benutzeraccount anlegen, dessen Name und Passwort identisch mit der MAC Adresse des jeweiligen Engerätes sind. Wenn man nun zusätzlich auch mit Zertifikaten arbeiten möchte, muss man dafür einen Computeraccount anlegen. Somit habe ich für für ein Endgerät 2 Accounts in meiner AD, was bei einer großen Anzahl an Endgeräten die AD ganz schön aufbläht. Meine Frage ist nun, ob es möglich ist, die MAC Adresse auch in einem Computeraccount, anstelle von einem Benutzeraccount zu hinterlegen. Ich habe bereits einige Zeit mit googeln verbracht und etwas gefunden, dass man die MAC wohl in den Eigenschaften des Computeraccounts (Einwählen -> Anruferkennung verifizieren) hinterlegen kann, jedoch lässt der NPS das Engerät nicht rein. Ist dies überhaupt möglich oder habe ich da etwas missverstanden ? Hier noch die Quelle zu meinem Suchergebniss: https://blogs.technet.microsoft.com/nap/2006/09/08/enhance-your-802-1x-deployment-security-with-mac-filtering/