Wisi
Members-
Gesamte Inhalte
146 -
Registriert seit
-
Letzter Besuch
Profile Fields
-
Member Title
Junior Member
Letzte Besucher des Profils
Der "Letzte Profil-Besucher"-Block ist deaktiviert und wird anderen Benutzern nicht angezeit.
Fortschritt von Wisi
-
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
Egal was ich konfiguriere, es geht nicht. Sobald ich aber die WIFI Verbindung hergestellt habe, funktioniert es dauerhaft bis zum Reboot. Das heißt zum einen für mich, dass die Richtlinien stimmen, sonst dürfte es gar nicht gehen, zum anderen dass es kein Problem bezüglich der Zertifikate im Grundsatz gibt, sondern es was im Bereich der Verifizierung der Gegenstelle sein muss, was dann durch die Verbindung vom WIFI überschrieben wird. So ähnlich sieht es scheinbar auch aus, wenn wir Drucker verbinden wollen über den Weg. Allerdings kommt es dort "wenigstens" zu einem Abbruch der Verbindung mit einem Fehler und nicht nur zu einem Timeout: NAS IP: 192.168.101.5 Client Username: PRT-KM8EECE6$@kunde.schulung.de Timestamp: 01/11/2024 17:44:07 Service: IAS RADIUS Server: kundeK01SV01 Class: 311 1 192.168.101.27 01/09/2024 18:11:56 1278 EAP-Friendly-Name: Microsoft: Smartcard- oder anderes Zertifikat NP-Policy-Name: test Authentication-Type: 5 Fully-Qualified-User-Name: kunde\PRT-KM8EECE6$ SAM-Account-Name: kunde\PRT-KM8EECE6$ Provider-Type: Windows Proxy-Policy-Name: Windows-Authentifizierung für alle Benutzer verwenden Client-Friendly-Name: HPE Aruba 5412R NAS-Manufacturer: 0 Client-IP-Address: 192.168.101.5 Packet-Type: Access-Reject Reason-Code: undefined -------------------------------------------- Authentifizierungstyp: EAP EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. Ursachencode: 262 Ursache: Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert. Der Fehler 262 deutet laut dem was ich gefunden habe darauf hin, dass das Gegengerät das Zertifikat nicht prüfen kann. Beim Kyocera Drucker haben wir das Clientzertifikat als PFX importiert, also hat er dadurch auch die komplette Chain inkl. ROOT-CA und Enterprise-SubCA bekommen. -
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
Sehe ich ähnlich, weil haben wir auf den Notebooks nicht (konfiguriert). Das mit dem Zertifikat glaube ich daher auch, weil es geht ja sofort, nachdem WIFI verbunden wurde. Mir fehlt nur ein Ansatzpunkt wie ich weitere Logs/Details dem PC entlocken kann. Weil bisher ist das Debug vom Switch das interessanteste was ich überhaupt sehen kann. Ich benutze für WIFI und WIRED auch dasselbe Zertifikat, das heißt am Zertifikat selbst kann es dann ja eigentlich eher nicht liegen meiner Meinung nach. -
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
Aktuell ist der NPS selbst tatsächlich leider noch ein Windows 2012, auf den Clients Windows 10 Pro 22H2. Das aber nur zum Testen. Letztlich sollen natürlich auch Drucker etc. damit angebunden werden. -
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
Ja, da ja dort der Ursprung der Anleitung her war und durchaus auch unterschiedliche Leute hier und dort unterwegs sind. In beiden Foren gibt es nach meiner Erfahrung gute Leute. Schade, dass bisher wohl keiner weiß wo das Problem zu suchen ist. Im Zweifelsfall, wenn jemand Lust hat daran ein paar Euro zu verdienen, werfe ich auch was in die Büchse und berichte dann hier für die Community die Lösung am Ende. Hauptsache wir kriegen das vom Tisch. Ich weiß derzeit leider nur eben auch noch nicht welchen von unseren Dienstleistern ich konkret mit diesem Thema ran kriege, da die grundsätzlichen Dinge klar sind und derjenige etwas Ahnung davon haben sollte und nicht bei mir erst die Expertise sich anlernt. Leider zu oft in letzter Zeit erlebt bei spezifischen Themen. -
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
Ja und ja. Wie beschrieben, ist quasi nichts drin außer dem Timeout. Wenn es ging, steht dort das hier: Die 802.1X-Authentifizierung (verkabelt) war erfolgreich. Netzwerkadapter: Realtek PCIe GbE Family Controller Schnitstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3} Peeradresse: 94F1280FE600 Lokale Adresse: E454E819D29E Verbindungs-ID: 0x3 Identität: host/kunde-A19D29E.kunde.de Benutzer: - Domäne: - Ursache: 0x0 Ursachentext: Der Vorgang war erfolgreich. Fehlercode: 0x0 Ansonsten immer diese Abfolge (unendlich): 802.1X-Authentifizierung (verkabelt) wurde gestartet. Netzwerkadapter: Realtek PCIe GbE Family Controller Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3} Verbindungs-ID: 0x1 802.1X-Authentifizierung (verkabelt) wurde neu gestartet. Netzwerkadapter: Realtek PCIe GbE Family Controller Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3} Verbindungs-ID: 0x1 Grund für den Neustart: Zeitüberschreitung bei Onex-Authentifizierung Die 802.1X-Authentifizierung (verkabelt) ist fehlgeschlagen. Netzwerkadapter: Realtek PCIe GbE Family Controller Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3} Peeradresse: 94F1280FE600 Lokale Adresse: E454E819D29E Verbindungs-ID: 0x1 Identität: - Benutzer: - Domäne: - Ursache: 0x70004 Ursachentext: Das Netzwerk beantwortet keine Authentifizierungsanforderungen mehr. Fehlercode: 0x0 -
NPS / 802.1x Authentifizierung Wired nur erfolgreich, wenn vorher 1x mit Wifi verbunden?
Wisi hat einem Thema erstellt in: Windows Server Forum
Hallo in die Runde, vielleicht hat jemand eine Idee zu dem Thema, ich habe jetzt einen guten Tag damit durch und verstehe es nicht. Wir bauen gerade an unseren Netzen weiter in Richtung Restriktionen und sind gerade beim Schulungsbereich dabei die Ports dicht zu machen. Jetzt haben wir aber auch Devices, die nicht zu unseren Domänen gehören, oder auch schlichtweg Endgeräte wie Drucker etc. Soweit so gut und auch normal würde ich sagen. Jetzt haben wir gemäß der Anleitung hier https://administrator.de/en/nps-802-1x-radius-authentication-with-eap-tls-and-strong-certificate-mapping-for-non-domain-joined-devices-9670013529.html und ein paar wenigen Anpassungen Zertifikate für diese Geräte erzeugt und auf dem NPS Regeln zum Testen damit. Der NPS authentifiziert nun problemlos folgende Szenarien: - Domänenrechner Wired und Wifi via Computerzertifikat - Nicht-Domänenrechner Wifi mit Computerzertifikat - Nicht-Domänenrechner Wired mit Computerzertifikat, ABER nur wenn bereits 1x das Wifi verbunden war Ich hab das dann weiter geprüft und mir ist aufgefallen, dass auf dem Switch nach den initialen Verbindungen Ruhe herrschte und man auf den Client wartet, dass der weiter reagiert. Sprich die Pakete gehen zum NPS, dort wird gematched und dann soll der Client wohl die eigentliche Verbindung aufbauen, das tut er aber nicht. Aus Verzweiflung habe ich dasselbe Konstrukt dann gleich im WIFI nachgebaut und es ging innerhalb von Sekunden. Dort habe ich dann wohl auch festgestellt woran es gescheitert ist ursprünglich mit der Verbindung: die Prüfung vom Zertifikat vom Gegenüber. Ich habe dann unter der Wifi Verbindung im Reiter Sicherheit -> Einstellungen bei der Identitätsprüfung unsere Root-CA noch ausgewählt und schwupps, keine Frage mehr, ob ich verbinden will und die Verbindung steht. Als ich das noch nicht gemacht habe, kam direkt nach der bestehenden WIFI Verbindung ein Fenster vom Wired Zugang, der auch danach gefragt hat, ob ich mich mit dem Netzwerk verbinden will, ebenfalls bestätigt, auch drin. Also hatten beide Verbindungen das gleiche Problem zu Beginn. Also gedacht, ist ja einfach, dasselbe in der Wired Verbindung gemacht und einen Reboot zur Sicherheit. Blödes Gesicht gemacht: geht nicht. Dann wieder manuell die WIFI Verbindung aufgebaut und direkt danach das Kabel neu gesteckt und schwupps, direkt wieder war die WIRED Verbindung da und bleibt, auch wenn ich dann WIFI trenne, das Kabel mal ziehe etc., aber nur bis zum Reboot. Das bedeutet für mich: irgendwas wird bei der WIFI Verbindung bestätigt, was dann auch für die WIRED gilt im Sinne von Verbindungsprüfung oder ähnlichem. Jetzt kann ich natürlich nicht immer von diesen Clients parallel Verbindungen von WIFI und WIRED aufbauen, das macht keinen Sinn und geht auch nicht überall. Was habe ich bereits probiert: - Identitätsprüfung ganz aus - Namen vom NPS Server rein und Root CA angehakt - Namen wieder raus und Root CA angehakt Egal welche von den Optionen ich einstelle, sobald WIFI verbunden war, sind alle davon funktionsfähig! Insofern: hat jemand eine Idee was das sein könnte? Logfile (Debug vom Switch) im Anhang zeigt folgendes: - Reboot Rechner, dann Versuch der Verbindung - Trennung Netzwerkkabel - (Verbindung Wlan) - (Trennung Wlan) - Verbindung Netzwerkkabel -> jetzt geht es! - Trennung Netzwerkkabel -> geht immer noch (bis Reboot...) Auf dem NPS nichts interessantes zu sehen, der sagt in den NI* Logs nur, dass immer Successful ist und im Eventviewer vom NPS wird bei "Nichtverbindung" auch nichts abgelegt. Das macht aber auch Sinn, weil er wohl auf den Client wartet und der nichts schickt. Auf dem Client im Eventviewer sieht man nur den Start der Authentifizierung und den Timeout davon. 802.txt -
Nach Schwenk auf andere WAF schlägt Authentifizierung bei genau einem User fehl
Wisi hat einem Thema erstellt in: MS Exchange Forum
Hallo, nachdem wir im Bereich Exchange eher (Power-)User sind und unser Dienstleister derzeit auch scheinbar kurzfristig keine Ressourcen hat, versuche ich es mal hier, ob mir jemand Ansätze zur Suche geben kann bei einem Problem was wir nicht verstehen. Background: - Sophos XG WAF eingeführt, nach drei Jahren aber immer noch Probleme mit immer mal wiederkehrenden Authentication Popups im Outlook oder kompletten Timeouts von 2-3 Minuten in ALLEN Webdiensten. Zudem kein Scan von WebDAV und zu viele Ausnahmen notwendig, damit es überhaupt läuft. Produkt soll also abgelöst werden, selbst Sophos sieht das ja nicht mehr als Kernprodukt bei der Lizenzierung. - Parallel dazu seit einem Jahr Tests mit Forti. Diverse Probleme haben wir dort im PoC schon aus der Welt geräumt (inkl. Bugfixes in der Firmware etc.). Jetzt testweise Schwenk aller internen Benutzer via DNS Manipulation. - Vorher hatten wir schon intern in der IT mit Manipulation der Hosts Datei drauf gearbeitet, um zu sehen ob das allgemein überhaupt stabil läuft (ohne große Last natürlich, aber erst mal muss ja alles gehen). Das war der Fall und Popups haben wir seitdem keinerlei mehr gesehen. Der Schwenk von allen internen Usern hat sofort die Sessions etc. angehoben, Traffic entsprechend auch. Aber am ersten Tag KEINE Probleme von Usern gemeldet, alle konnten direkt weiterarbeiten und haben es vermutlich gar nicht gemerkt, außer dass alle darauf gehosteten Webdienste fluffiger laufen. Jetzt zum Problem: Es gibt genau einen User, der am nächsten Tag nicht mehr mit Outlook arbeiten konnte, weil es sich nicht mehr authentifiziert bekommt. Weder via Kerberos, noch via Popup und dann NTLM. Wenn ich bei dem Nutzer via Hosts Datei den Rechner entsprechend wieder umbiege auf Sophos und dann neu anmelde, dann geht auch das Outlook wieder auf. Hat wer eine Idee woran es liegen könnte? Am globalen Setup ja vermutlich eher nicht, da 30 andere User parallel problemlos arbeiten können. -
Druckerzuweisung via GPP - Zielgruppenadressierung auf Computerebene in Benutzerkonfiguration
Wisi antwortete auf ein Thema von Wisi in: Windows Server Forum
@daabm da hast du natürlich vollkommen recht und wenn ich nicht nur in den Überbegriff, sondern mal vollständig reingeschaut hätte, dann wäre mir das auch aufgefallen :/ Ja, das mit den Token bezüglich Zugehörigkeit war mir klar, aber manchmal übersieht man ja das einfachste, das war es nicht. Soweit es aktuell nach weiterer Analyse aussieht, ist es viel profaner. Die Rechner scheinen vor Ort ohne unser Wissen vertauscht worden zu sein und damit haben wir schlicht nicht den richtigen zugewiesen (merke, zuerst den Rechnernamen noch mal peinlichst genau überprüfen vor der weiteren Diagnose...). Peinlich, aber was solls, wieder was dazugelernt, wie man das auch diagnostiziert. @Sunny61 hatte ich auch schon drüber nachgedacht, aber gelesen wurde es. Danke für den schnellen Input! Ich gehe davon aus, dass nach dem nächsten Reboot das Thema nun erledigt sein sollte, ist es das nicht, würde ich hier wieder darauf zurück kommen ;) -
Druckerzuweisung via GPP - Zielgruppenadressierung auf Computerebene in Benutzerkonfiguration
Wisi hat einem Thema erstellt in: Windows Server Forum
Hallo in die Runde, ich habe ein Thema mit der Druckerzuweisung, da wir etwas anders machen als bisher und ich wollte wissen, ob das evtl. by design ist. Bisher haben wir immer Druckerzuweisungen über (Benutzer-)Gruppen erledigt und im Benutzerkontext der Gruppenrichtlinien per Zielgruppenadressierung zugewiesen. Das funktioniert auch wie gewünscht. Jetzt gab es Standorte, an denen es langsam mehr Sinn macht über den benutzten Computer die Zuweisung zu erledigen. Also haben wir dasselbe wie immer gemacht, mit dem Unterschied, dass jetzt in der Zielgruppenadressierung die die Mitgliedschaft des Computers in der Sicherheitsgruppe abgefragt wird, statt der Mitgliedschaft des Benutzers. Leider greift das aber nicht, Debugging habe ich noch nicht an gemacht, das werde ich als nächstes tun. Aber vielleicht ist das Problem hier schon, dass es by design nicht so gedacht ist, dass ich eine Zielgruppenadressierung auf Computer in der Benutzerkonfiguration machen kann? Sorry für die vielleicht dumme Frage, aber so rum haben wir das bisher eben noch nie gemacht ;) Googlen hatte für mich hier noch keinen eindeutigen Treffer gebracht. -
Outlook mit digitaler Signatur und Verschlüsselung - Wie sind euere Erfahrungen?
Wisi antwortete auf ein Thema von magicpeter in: MS Exchange Forum
Wie hast du dich entschieden? Kommt das Produkt bei dir zum Einsatz? -
Sicher, darf (und sollte) ja jeder halten wie er möchte und es wäre grundsätzlich nur ein Wunsch :) Aber ich gehe davon aus, dass viele hier auch noch Testsysteme von den diversesten Umgebungen haben. Wie wir bspw. dann eben 30 /180 Tage VM Maschinen nutzen, um was durchzuspielen. Evtl. hat ja jemand gerade eben eine dafür passende Umgebung laufen und sei es seine eigene daheim. Ich glaube aber das steht in einem Forum grundsätzlich außer Frage, dass jeder selbst weiß was er tun will/kann. Der Community Gedanke ist aber wohl eher nicht abwegig und ich habe dadurch bedingt auch schon Fehler gefunden, die entsprechend bei MS gemeldet (und auch behoben) wurden. Leider aber nur in der Cloud Variante... Aber immerhin es hat jemand anderem geholfen und wir hatten einen Workaround gefunden.
-
Outlook mit digitaler Signatur und Verschlüsselung - Wie sind euere Erfahrungen?
Wisi antwortete auf ein Thema von magicpeter in: MS Exchange Forum
Da kam noch eine Antwort zwischenrein, das hier war auf die Anmerkung bezüglich der Sophos gedacht: Sorry, den Nebensatz habe ich natürlich nicht erwähnt. Ja, uns ist das bewusst, wir setzen die SG nur noch für das Thema Mail Gateway ein, weil es in der XG bisher eben katastrophal, bzw. gar nicht enthalten ist. Es wird nach aktuellem Stand auch so gar nicht mehr in die XG kommen... Da ich die Umgebungsgröße und sein Budget nicht kenne, ist es aber unter Umständen für einen Einstieg interessant (gerade wenn man vielleicht schon eine UTM hat). Auch bei uns stößt das so langsam an die Grenzen mit ungefähr 70-80 Postfächern, die das nutzen. Es war zum Einstieg aber unklar wie viel wir das tatsächlich benötigen. Sollte es bei der UTM final abgekündigt werden, bzw. auch das Thema des Arbeitsaufwandes zu groß werden, dann haben wir uns bisher mit 3 lösungen beschäftigt: - seppmail - Zertificon - nospamproxy Tendenz würde dann zu nospamproxy von der Handhabung her gehen. Aus unserem Verbund raus, wäre es eher Zertificon. Wir werden sehen, das wird auch der Preis zu dem Zeitpunkt mit entscheiden. Danke für den Hinweis, das hilft mir wiederum weiter, wir haben bereits eine Nextcloud im Einsatz und über sowas ähnliches hatte ich auch schon nachgedacht. -
Wäre ja zum Glück nicht viel für notwendig, ein Gruppenpostfach, eine Powershell Line und ein Versand via Outlook. Ich glaube nicht, dass es mit dem Automapping zu tun hat, ich gehe davon aus, dass grundsätzlich bei Gruppenpostfächern im Outlook so dann nicht geht. Aber du hast natürlich Recht, ob jemand Bock drauf hat, ist die andere Frage ;)
-
Outlook mit digitaler Signatur und Verschlüsselung - Wie sind euere Erfahrungen?
Wisi antwortete auf ein Thema von magicpeter in: MS Exchange Forum
Wir machen das derzeit mit einer Sophos UTM, wenngleich das auch Handarbeit erfordert. Von einer Lösung im Outlook rate ich auch ab aus den genannten Gründen. Wir haben das auch deshalb gemacht, dass wir im System keinerlei verschlüsselte Inhalte haben, die wir dann evtl. selbst nicht mehr lesen können, daher immer auf dem Gateway. -
Da haben wir leider trotz bebilderter Anleitung gänzlich andere Erfahrungen im Unternehmen :/ Anderes System habe ich nicht zu entscheiden, ich finde das Verhalten aber letztlich komisch, denn ich würde eigentlich erwarten, dass damit die Mail im Gruppenpostfach doppelt landet, aber sei es drum. Nur zur Sicherheit würde es mir schon helfen, wenn das einer von euch reproduzieren kann, dann wüsste ich schon mal, dass es nicht noch an was anderem liegt...