cypress73 10 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Hallo, ich habe folgendes Problem: Running: Server:Windows2008EE Server ADS,DNS,CertCA,IIS,NPAS Client Windows 7 Wlan AccessPoint mit Radius Konfig und EAP/Tls Authentifizierung ich kriege es nicht hin das sich der Client selbstständig das Computer/Benutzerzertifikat holt (Autoenroll) Manuell funktioniert es und es wird auch eine sichere Verbindung mit dem Lan aufgebaut. Habe es in einer GPO schon unter Benutzer/Computer-Sicherheit- usw. eingetragen alle Häckchen gesetzt auch über den Assistenten das Zertifikat ausgewählt und in der Zertifikatsvorlagenkopie Häckchn bei den berechtigten Gruppen Lesen, Enroll, Autoenroll gesetzt > es funktioniert nicht :( Kann mir jemand helfen? Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Hi cypress73, willkommen an Board, welcher Gruppe hast Du Autoenroll Berechtigungen gegeben - Benutzer- oder Computergruppen? Für Computer Autoenrollment wäre letzteres notwendig. Wurde das Autoenrollment per GPO im Computerteil der Policy aktiviert, greift die Policy überhaupt auf dem Client? Was steht im Eventlogs des Clients, was im Eventlog (oder Failed Requests) der CA? Viele Grüße olc Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 22. Juni 2010 Autor Melden Teilen Geschrieben 22. Juni 2010 Hallo, ich habe sowohl der Gruppe DomainUser als auch DomaiComputer die Berechtigung gegegebn nur zur Sicherheit :) DAs Autoenrollment wurde im Computerteil als auch im Benutzerteil aktiviert Ob die Policy greift weiss ich nicht. Anscheinend nicht wenns nicht funkt. da nur das Autoenrolllment da definiert wurde (eigene GPO unter der DomainPolicy) (wenn ichs unter der mmc lokal anfordere wird es installiert und es funkt. dann) Log steht das ein Benutzerzertifikat fehlt..das ist klar weil ja das Enrollment nicht funkt. bzw. die GPO und kein Zertifikat verteilt wird auf den Client hmmm...fällt mir gerade ein> darf ich maybe keine eigene GPO erstellen sondern muss ich die Einstellungen in der DefaultDomainPolicy machen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Juni 2010 Melden Teilen Geschrieben 22. Juni 2010 Hi, ein paar Absätze und Satzzeichen mehr erhöhen die Lesbarkeit ungemein. ;) D.h. Du hast eine neue Policy erzeugt und darin die Autoenrollment Einstellungen definiert? Die Default Domain Policy unter Windows Server 2003 hat einen Anzeigefehler, was die Standardeinstellungen des Autoenrollments betrifft - daher die Nachfrage. Welche der Optionen hast Du in der Autoenrollment Policy aktiviert? Bestenfalls beide Haken setzen (+ "Enabled" natürlich). Ob die Autoenrollment Einstellungen greifen, siehst Du auf einem Client unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment" --> "AEFlags". Der Wert sollte bei gesetzten Optionen vorhanden und größer "0" sein (ich denke "7" oder "9"). Fehler im Ereignisprotokoll "Application" der Clients? Viele Grüße olc Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 23. Juni 2010 Autor Melden Teilen Geschrieben 23. Juni 2010 Hallo, ja ich habe eine neue Policy erstellt in welcher nur die Autoenroll Einstellungen sind. Und beide Haken :) Den Fehler habe ich jetzt gefunden > es lag an dem Userzertifiakt selbst. Habe die Vorlage samt der Kopie aus dem Server gelöscht und ein neues erstellt mit Im AD veröffentlichen, die berechtigte Gruppe hinzugefügt, Unter CSPs Microsoft RSA Häkchen rein und den Basic raus. Unter Namensformat nur "Common Name" include Info nuir den UPN dann Client neu gestartet, GPupdate und siehe da nach 10 sec. hat er sich das UserZertifikat geholt und die EAP_TLS Verbindung ist aufgebaut :)) Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 23. Juni 2010 Autor Melden Teilen Geschrieben 23. Juni 2010 was mir noch nicht ganz klar ist > Wie soll sich ein neuer User oder Client den die Zertifikate holen wenn er nur über eine WLAN Verbindung verfügt? Die ist ja Anfangs garnicht aufgebaut (Jetzt nur mal so nen Gedanke, reine Theorie, habs noch nicht getestet) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. Juni 2010 Melden Teilen Geschrieben 24. Juni 2010 Hi, wenn der Benutzer das Zertifikat vor der WLAN Anmeldung benötigt, muß er sich mindestens ein Mal (oder sein Rechner, wenn es auf Computerbasis läuft) mit Netzwerkverbindung angemeldet haben. Zur Not also mit LAN-Kabel. Viele Grüße olc Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 25. Juni 2010 Autor Melden Teilen Geschrieben 25. Juni 2010 hmm..anders geht es nicht? Habe ich die Möglichkeit irgendwie das Benutzer/Computerzertifikat auf z.B. USB Stick zu speichern und dann lokal am Client zu installieren? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. Juni 2010 Melden Teilen Geschrieben 25. Juni 2010 Hi, natürlich - die Möglichkeit hast Du auch. "Enroll on behalf of" ist das Stichwort dazu: http://technet.microsoft.com/en-us/magazine/2007.08.securitywatch.aspx Das hat dann aber nichts mehr mit einem Autoenrollment zu tun. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 29. Juni 2010 Autor Melden Teilen Geschrieben 29. Juni 2010 hi olc, danke für den Link werde ihn mir durchlesen ist echt interessant das ganze Thema Um nochmal auf die Zertifikate und USB Stick zu kommen ja natrlich ist das kein Autoenrollment :) aber kannstt du mir kurz erklären wie das geht? ich kann z.B. in dem Zertifikatsmanagement auf dem CA Server die erstellten Copien nicht per Export exportieren. Nur dann auf dem Client selbst geht das wenn er es schon drauf hat. Was für Möglichkeiten habe ich? Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. Juni 2010 Melden Teilen Geschrieben 29. Juni 2010 Hi, hast Du Dir den Link bzw. die "Enroll on behalf of" Option angeschaut? Das sollte das Thema sein, welches Du suchst. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
cypress73 10 Geschrieben 2. Juli 2010 Autor Melden Teilen Geschrieben 2. Juli 2010 ja hab ich danke das hilft mir weiter :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.