Jump to content

WPA2 anmeldung vor windows authentifizierung

PKachel

Von PKachel
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

PKachel Apprentice

PKachel   10

Geschrieben
Geschrieben

Hallo zusammen,

 

bei uns im Betrieb tut sich ein etwas größeres Problem auf und zwar hat die Netzwerktruppe entschieden, unser WLAN auf WPA2 umzustellen. Ansich keine schlechte Sache ABER:

 

im Moment connecten alle WLAN User über VPN, da man das VPN nicht richtig konfiguriert bekommen hat (in 5 Jahren) entscheided man sich zu WPA zu wechseln, sicherer und einfacher und STABIL... nun hängen aber nicht gerade wenige Laptops in einer Domäne. Bis lang kein Problem, da der VPN Client (Cisco) auf Strg + alt + Entf reagiert und somit vor der WIndows anmeldung erscheint und eine Netzwerkverbindung hergestellt werden kann.

 

Bei WPA2 ist das nicht möglich!!Weil die Authentifizierung über MS-CHAP + Radius erst nach Anmeldung von statten geht ... aber wie soll man sich da an der Domäne anmelden können?

 

Hat vielleicht jemand dieses Problem gehabt?!

Danke schonmal im Voraus, Gruß Philipp

IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Nicht nur der Benutzer, sondern auch der Computer benötigt ein Zertifikat. Der Haken "Als Computer authentifizieren, wenn Computerinformationen verfügbar sind" ist auch angehakt. Ich habe bei einem meiner Netzwerke auch noch einen Regkey setzen müssen, dass der Client eine definierte Zeit auf die Anwendung der Computerrichtlinie wartet ...

Group Policy application fails on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2

Ich benutze für die WLAN-Clients die Windows-Software zum Steuern der WLAN-Konfiguration.

PKachel Apprentice

PKachel   10

Geschrieben
  • Autor
Geschrieben

das problem ist, das bei der größe hier keine zertifikate ausgegeben werden sondern nur benutzername und passwort (ca. 8000 user im Netz davon ca 600 WLAN) und wenn ichs richtig verstehe müsste man ja für jeden user ein eigenes Zertifikat ausstellen?

den haken entfernen wir immer ...

PKachel Apprentice

PKachel   10

Geschrieben
  • Autor
Geschrieben

ok ... hört sich gut an :)

ist das für jeden rechner ein individuelles certifikat oder ein allgemein gültiges ... und muss ich das selber "verfassen", in bezug darauf bin ich leider ein newbie..

 

und danke schonmal soweit!!

Pfuscher Community Regular

Pfuscher   12

Geschrieben
Geschrieben

Da kann ich mich nur IT-Home anschliessen. Ist alles schon mit bei Windows an Board.

 

Installiere auf einen Windows 2003 (R2) ENTERPRISE Server die PKI und konfigurierst zumindest die Vorlagen für Benutzer und Computerauthentifizierung.

Dann konfigurierst Du die WLAN-Netze via GPO zur Verteilung und legst dort PEAP und/oder EAP-TLS fest. Mittlerweile ist für XP und 2003 Updates für die Nutzung von WPA2 verfügbar. Info-Link

Abschliessend lässt Du dann die Zertifikate automatisch ausrollen, auch via GPO.

 

Das Häkchen für Computerauthentifizierung muss bei WLAN wieder zwingend rein.

 

Zusätzlich sollte die Option "Warten auf Netzwerk" via GPO aktiviert werden.

 

Endergebnis der ganzen Aktion (ca 5-7 Mann-Tage mit Feintuning) für Dich wird wie folgt sein:

 

1. Du kannst zentral die Konfiguration der WLAN-Netzeinstellungen konfigurieren.

2. Domänen-Computer sowie Domänen-Benutzer bekommen automatisch ein Zertifikat ausgestellt.

3. Ist kein Nutzer angemeldet, meldet sich der Computer mit seinem Domainkonto und seinem Zertifikat am WLAN an. -> Remoteadministration ist möglich auch ohne Kabel

4. Die Benutzer melden sich automatisch über das Domainlogin und dem Zertifikat am WLAN an und bekommen alle Scripte etc ausgeführt. Für den Benutzer vollkommen tranzparent, als wäre er am Kabel.

5. weniger Arbeit bei der Clientkonfiguration

 

Wir setzen hier Enterasys-APs ein, die mehrere virtuelle APs pro physischen AP fahren können. Dies gibt mir die Möglichkeit, auch ältere Notebooks ans WLAN anzubinden. Daher es gibt mehrere WLAN-Netze an den APs die per GPO verteilt werden. Als Bsp:

 

WLAN-WPA2-AES (für die modernsten Notebooks, bei Centrino-NBs reicht es die aktuellen Treiber zu verteilen)

WLAN-WPA-AES (für Notebooks mit nicht so kompletter Unterstützung)

WLAN-WPA-TKIP (für den restlichen Schrott)

 

Die Netze sind entsprechend der Reihenfolge der Sicherheit von oben nach unten eingepflegt. Windows versucht immer von oben nach unten die Netze ab, bin eins passt wo es sich verbinden kann.

 

Grütze,

 

Henry

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...