todde_hb

@Weingeist Danke. Werde ich mal testen.

Hi, versuche von einem Win 2012R2 von einzelnen Workstation den Zertifikatsspeicher ( Computerzertifikate ) mittels MMC SnapIn auszulesen. Leider bekomme ich für alle Workstations eine Fehlermeldung Hat jemand eine Idee, was das Problem sein könnte? Ciao, todde_hb

So, bisher hat alles funktioniert. Danke für die Unterstützung.

Danke für den Link. Schaue es mir gerade an und versuche es, auf dem Windows Server 2016 nachzustellen. Leider scheitere ich gerade an dem Punkt, an dem an in certsvr die Zertifikatvorlage für Computer auswählen soll, um dann "Doppelte Vorlage zu wählen". Bei mir erscheint nur "delete, properties,help" Wurde im 2016er etwas geändert? Ah, habs gerade selbst herausgefunden

@Dr.Melzer Hallo, ja, werde versuchen es übersichtlicher zu schreiben. @NorbertFe Was mir noch nicht ganz klar ist, wie ich die individuellen Zertifikate erstellen muss. Über certmgr manuell?

Keine Ahnung, was der Forefront ist, aber hier wird es erwähnt . War wohl früher der ISA

Hallo, möchte mich mal zu einem Thema schlau machen und wollte hier mal grob nachfragen, was es für mein Szenario benötigt. Also, es sollen in einer Testumgebung in Zukunft alle WIFI Clients sich nicht mehr mittels Benutzername/Passwort anmelden am AP, sondern ausschließlich per Zertifikat. Mein Verständnis dazu ist soweit, dass der AP Radius unterstützen muss, dass ich die NPS Rolle auf einem Memberserver installieren muss und dass der AP dann im NPS als Client angelegt wird. Ist das soweit richtig? Was mich jetzt noch etwas umtreibt ist die Frage, wie die Clients an gültige Zertifikate kommen. Installieren werde ich natürlich noch die Zertifikatsrolle. Eine Verteilung per GPO erscheint mir der richtige Weg, aber dazu müssten die Clients die Policy mitbekommen, also kann ich die Umstellung am AP ja erst nach diesem Vorgang einrichten. Was mache ich mit später hinzugefügten Clients, also wenn AP schon auf Radius umgestellt ist und der Client keine Möglichkeit hat, mit dem DC zu kommunizieren? Klar, ich kann ihn erstmal ans Kabel hängen, aber ein vollautomatischer Weg wäre mir ehrlich gesagt lieber. Wie werden denn die Clientzertifikate überhaupt erstellt, also manuell z.B. per Webregistrierung, oder bekommt jeder Domänenclient automatisch ein individuelles ausgestellt? Benötigt es eigentlich den Forefront von Microsoft für diese Szenario? Ciao und ein sonniges Wochenende.