PKachel 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Hallo zusammen, bei uns im Betrieb tut sich ein etwas größeres Problem auf und zwar hat die Netzwerktruppe entschieden, unser WLAN auf WPA2 umzustellen. Ansich keine schlechte Sache ABER: im Moment connecten alle WLAN User über VPN, da man das VPN nicht richtig konfiguriert bekommen hat (in 5 Jahren) entscheided man sich zu WPA zu wechseln, sicherer und einfacher und STABIL... nun hängen aber nicht gerade wenige Laptops in einer Domäne. Bis lang kein Problem, da der VPN Client (Cisco) auf Strg + alt + Entf reagiert und somit vor der WIndows anmeldung erscheint und eine Netzwerkverbindung hergestellt werden kann. Bei WPA2 ist das nicht möglich!!Weil die Authentifizierung über MS-CHAP + Radius erst nach Anmeldung von statten geht ... aber wie soll man sich da an der Domäne anmelden können? Hat vielleicht jemand dieses Problem gehabt?! Danke schonmal im Voraus, Gruß Philipp Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Nicht nur der Benutzer, sondern auch der Computer benötigt ein Zertifikat. Der Haken "Als Computer authentifizieren, wenn Computerinformationen verfügbar sind" ist auch angehakt. Ich habe bei einem meiner Netzwerke auch noch einen Regkey setzen müssen, dass der Client eine definierte Zeit auf die Anwendung der Computerrichtlinie wartet ... Group Policy application fails on a computer that is running Windows 2000, Windows XP Service Pack 1, or Windows XP Service Pack 2 Ich benutze für die WLAN-Clients die Windows-Software zum Steuern der WLAN-Konfiguration. Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 ups da war wohl jeman schneller Hallo, Du solltest entsp. Zertifikate austellen und verteilen dann sollte die Anmeldung über das Zert. erfolgen.. MfG Onewayticket Zitieren Link zu diesem Kommentar
PKachel 10 Geschrieben 29. November 2006 Autor Melden Teilen Geschrieben 29. November 2006 das problem ist, das bei der größe hier keine zertifikate ausgegeben werden sondern nur benutzername und passwort (ca. 8000 user im Netz davon ca 600 WLAN) und wenn ichs richtig verstehe müsste man ja für jeden user ein eigenes Zertifikat ausstellen? den haken entfernen wir immer ... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Für die Computer, nicht für die Benutzer, damit auch vor der Anmeldung des Benutzers schon eine WLAN-Verbindung besteht ... Zitieren Link zu diesem Kommentar
PKachel 10 Geschrieben 29. November 2006 Autor Melden Teilen Geschrieben 29. November 2006 ok ... hört sich gut an :) ist das für jeden rechner ein individuelles certifikat oder ein allgemein gültiges ... und muss ich das selber "verfassen", in bezug darauf bin ich leider ein newbie.. und danke schonmal soweit!! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Schau mal hier ... Microsoft Corporation Zitieren Link zu diesem Kommentar
Pfuscher 12 Geschrieben 29. November 2006 Melden Teilen Geschrieben 29. November 2006 Da kann ich mich nur IT-Home anschliessen. Ist alles schon mit bei Windows an Board. Installiere auf einen Windows 2003 (R2) ENTERPRISE Server die PKI und konfigurierst zumindest die Vorlagen für Benutzer und Computerauthentifizierung. Dann konfigurierst Du die WLAN-Netze via GPO zur Verteilung und legst dort PEAP und/oder EAP-TLS fest. Mittlerweile ist für XP und 2003 Updates für die Nutzung von WPA2 verfügbar. Info-Link Abschliessend lässt Du dann die Zertifikate automatisch ausrollen, auch via GPO. Das Häkchen für Computerauthentifizierung muss bei WLAN wieder zwingend rein. Zusätzlich sollte die Option "Warten auf Netzwerk" via GPO aktiviert werden. Endergebnis der ganzen Aktion (ca 5-7 Mann-Tage mit Feintuning) für Dich wird wie folgt sein: 1. Du kannst zentral die Konfiguration der WLAN-Netzeinstellungen konfigurieren. 2. Domänen-Computer sowie Domänen-Benutzer bekommen automatisch ein Zertifikat ausgestellt. 3. Ist kein Nutzer angemeldet, meldet sich der Computer mit seinem Domainkonto und seinem Zertifikat am WLAN an. -> Remoteadministration ist möglich auch ohne Kabel 4. Die Benutzer melden sich automatisch über das Domainlogin und dem Zertifikat am WLAN an und bekommen alle Scripte etc ausgeführt. Für den Benutzer vollkommen tranzparent, als wäre er am Kabel. 5. weniger Arbeit bei der Clientkonfiguration Wir setzen hier Enterasys-APs ein, die mehrere virtuelle APs pro physischen AP fahren können. Dies gibt mir die Möglichkeit, auch ältere Notebooks ans WLAN anzubinden. Daher es gibt mehrere WLAN-Netze an den APs die per GPO verteilt werden. Als Bsp: WLAN-WPA2-AES (für die modernsten Notebooks, bei Centrino-NBs reicht es die aktuellen Treiber zu verteilen) WLAN-WPA-AES (für Notebooks mit nicht so kompletter Unterstützung) WLAN-WPA-TKIP (für den restlichen Schrott) Die Netze sind entsprechend der Reihenfolge der Sicherheit von oben nach unten eingepflegt. Windows versucht immer von oben nach unten die Netze ab, bin eins passt wo es sich verbinden kann. Grütze, Henry Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.