magheinz 110 Geschrieben 12. Januar 2015 Autor Melden Teilen Geschrieben 12. Januar 2015 (bearbeitet) Ich hab nunmal nur als Merkmal die OU des Rechners. Ob ich mich mit NPS weiter beschäftigen muss ist ja gerade die Frage. Wenn das mit Windowsboardmitteln nunmal eh nicht geht brauche ich mich mit dem Dienst auch nciht weietr beschäftigen. Ich möchte keine SubCAs installieren, darum geht es ja gerade. Die Rechner sind alle gleich, das einzige Kriterium um sie zu unterscheiden ist die OU im AD. Ich teste das jetzt mal mit einer Vorlage bei der das Format des Antragstellernamens "vollständiger definierter Name" ist. Da müsste dann doch der DN drin stehen, also auch die OU. Nach der kann ich dann entscheiden welches VLAN. Dann müsste ich aber dafür sorgen das auch jedes mal wenn die OU gewechselt wird ein neues Zertifikat erzeugt wird. Auch nicht optimal. Die Rechner in Sicherheitsgruppen zu packen ist auch keine Lösung. Die Fehlerquelle ist zu groß. Ganz schnell sind dann z.B. Rechner in mehreren Gruppen gleichzeitig. Das endet im Chaos. Falls du eine bessere Idee hast das genannte Vorhaben umzusetzen als nach den OUs zu filtern, lass hören. zumindest ein Stichwort wäre da nett. Danach kannst du mich gerne als beratunsgresistent abstempeln. Ok, ich komme wohl nicht um Sicherheitsgruppen herum wenn ich das mit WindowsBoardmitteln abbilden möchte. Die Ausgangsbedingungen sind nunmal so wie sie sind z.B. mehrere potentielel VLANs pro Standort. Die kann ich nicht ändern. Mal sehen wie ich das zu erwartende Chaos der Guppenmitgliedschaften geregelt bekomme. bearbeitet 12. Januar 2015 von magheinz Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Januar 2015 Autor Melden Teilen Geschrieben 12. Januar 2015 so, mit Sicherheitsgruppen + NPS funktioniert das alles so wie gewollt. Die Rechner gehen je nach Gruppe in das entsprechende VLAN oder halt ins GästeVLAN. Falls MS die Rolle in Zukunft so nicht mehr anbietet ist ein Umstieg auf einen anderen Radiusserver ohne Probleme möglich. Jetzt muss ich also die Rechner alle in die entsprechenden Sicherheitsgruppen packen und 802.1x auf den Geräten einschalten. Dann bastel ich mal ein script welches Rechner anzeigt die in mehr als einer der entsprechenden Gruppen Mitglied sind. Mal sehen ob ich das auch im icinga monitore. Danke an alle die geholfen haben. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Wenn die verschiedenen Liegenschaften verschiedene IP-Adresskreise benutzen, könntest Du auch in der NPS Policy nach "Access Client IPv4 Address" oder "Calling Station ID" (bei VPN-Verbindungen) filtern. Das würde weniger Pflegeaufwand mit den Gruppen bedeuten. Have fun!Daniel Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Und was macht man, wenn NPS abgeschafft wird? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Danke an alle die geholfen haben. Danke für die Rückmeldung Und was macht man, wenn NPS abgeschafft wird? FreeRadius, Cisco TACACS, usw. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 13. Januar 2015 Autor Melden Teilen Geschrieben 13. Januar 2015 Und was macht man, wenn NPS abgeschafft wird? wenn ich das richtig sehe wird nur NAP abgeschafft. Die Konfiguration liesse sich aber in nullkommanix mit freeradius umsetzen. Wenn die verschiedenen Liegenschaften verschiedene IP-Adresskreise benutzen, könntest Du auch in der NPS Policy nach "Access Client IPv4 Address" oder "Calling Station ID" (bei VPN-Verbindungen) filtern. Das würde weniger Pflegeaufwand mit den Gruppen bedeuten. Have fun! Daniel Das war auch mein erster Ansatz bis ich auf die ganzen Ausnahmen gestossen bin. z.B. haben wir teilweise nur ein Glasfaserpaar wo an einem Switch eigene Geräte, Fremdgeräte und Kassen hängen. Insgesamt haben wir knappe 200-250 Accessswitche. Die will ich möglichst einheitlich konfigurieren. Die will ich alle in einem eigenen VLAN haben. Bisher sind die Ports auf den Switchen halt statisch je nach Liegenschaft konfiguriert was in vielen Fällen zu unhandlich ist. Ich kann meine Kollegen mangels CIscokenntnisse nicht auf die switche loslassen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Das stimmt. Das würde dann komplexere IP-Adresskreise bedeuten. Was mir noch einfällt: Host Credential Authorization Protocol (HCAP)-Integration wäre noch eine Möglichkeit, wo Du gerade Cisco erwähnst. Damit könntest Du HCAP Location Groups verwenden. Falls das bisher nicht im Einsatz ist, wäre das aber auch mit Kanonen auf Spatzen geschossen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.