Nightwalker_z 10 Geschrieben 10. November 2008 Melden Teilen Geschrieben 10. November 2008 Hallo zusammen, ich baue gerade ein EAP-TLS Testlabor für 802.1x zusammen. Habe mir einen Windows 2003 Enterprise zusammengebastelt und ne Windows CA drauf installiert. Ich kann die Zertifikate wunderbar via Webseite ausrollen. Jetzt kommt aber der komplizierte Teil. Ich will Client- und Userzertifikate automatisch ausrollen lassen. Habe im DNS die ganzen Service Records und kann einen XP Client an die Domäne anmelden. Eine Gruppenrichtlinie habe ich auch schon erstellt. Wenn ich mich auf dem Windows XP Client einlogge, bekomme ich aber im Eventlog ne Fehlermeldung: Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskennung: 1058 Beschreibung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={...ID...},CN=Policies,CN=System,DC=testserver,DC=de kann nicht zugegriffen werden. Die Datei muss im Pfad <\\testserver.de\SysVol\testserver.de\Policies\{...ID...}\gpt.ini> vorhanden sein. (Die Konfigurationsinformationen konnten vom Domänencontroller nicht gelesen werden. Mit dem Computer kann keine Verbindung hergestellt werden, oder der Zugriff wurde verweigert. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. Vom XP Client aus, kann ich auf das Netzwerkshare \\Domaincontroller\Sysvol .... zugreifen. Also ist es denke ich schon mal kein Fehler des Shares bzw. der Berechtigung auf den Share. Was mich etwas stutzig macht ist, dass die Datei GPT.INI irgendwie ein wenig leer ist. Ist das normal? [General] Version=327684 displayName=Default Kann mir jemand einen Tip für dieses Puzzle geben? Danke im Voraus und viele Grüße Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 10. November 2008 Melden Teilen Geschrieben 10. November 2008 GPO-FAQ No. 36, beide Einstellungen setzen und den Client 2 x booten: FAQ-GPO Und das SMB-Signing gem. BestPraxis in beiden GPOs konfigurieren: SMB Signing - Einstellungen für: Kommunikation digital signieren Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 11. November 2008 Autor Melden Teilen Geschrieben 11. November 2008 Danke für die schnelle Antwort. Ich wollte gerade deine Tips umsetzen und hab meinen VM DC und das VM XP gestartet und angemeldet. Am XP Client war das XP Menü auf einmal in der klassischen Ansicht - wie in den Gruppenrichtlinien eingestellt. Und ich hab deine Tips noch nicht mal umgesetzt - hatte wohl dieses mal Glück mit der Startreihenfolge der Dienste. Sprich, der Client hat sich automatisch ein Clientzertifikat gezogen und nach dem Anmelden hat der AD User auch ein Userzertifikat gefunden. Das Userzertifikat habe ich nicht gleich gefunden, weil es im Zertifikatsspeicher unter "Active-Directory Benutzerobjekt" liegt. Dazu ne kurze Frage: Liegen die Userzertifikate dann lokal auf dem XP Client, oder sind die Userzertifikate auf den Domain Controller gespeichert? Was passiert, wenn man sich mit Cached Credentials anmeldet? Dann hat man kein User-Zertifikat auf dem Client, oder? Auf jeden Fall noch mal vielen Dank! Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 11. November 2008 Melden Teilen Geschrieben 11. November 2008 Danke für die schnelle Antwort. Ich wollte gerade deine Tips umsetzen und hab meinen VM DC und das VM XP gestartet und angemeldet. Am XP Client war das XP Menü auf einmal in der klassischen Ansicht - wie in den Gruppenrichtlinien eingestellt. Und ich hab deine Tips noch nicht mal umgesetzt - hatte wohl dieses mal Glück mit der Startreihenfolge der Dienste. Vermutlich. Setz die Einstellungen wie gen., ansonsten kannst Du im Echtbetrieb mit nicht ausgeführten Loginscripts oder nicht ausgeführten Softwareinstallationen konfontiert werden, und weißt nicht woher das kommt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.