wieckie 10 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Moin! Ich beschäftige mich gerade damit unser Wlan auf Radius (PEAP-MS-CHAPv2 authentication) umzustellen. Mit einem QNAP-NAS als Radius hat auch alles schon geklappt. Man kann dort aber nicht auf Domänenuser zugreifen, sondern muss diese händisch pflegen. Daher möchte ich die Microsoft Boardmittel nutzen. Folgende Frage: Kann der Radius-Server (Zertifikate, Netzwerkrichtlinien) ein Mitgliedsserver sein, oder muss es zwingend der Domänencontroller sein. (Win 2008 R2) Danke Frank Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Moin, ein Mitgliedsserver reicht aus. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 'n Abend. Es muß kein DC sein, wird aber aus Performancegründen je nach Umgebung sogar empfohlen. Zitieren Link zu diesem Kommentar
wieckie 10 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 Danke für die Antworten. Bei uns ist es jetzt seit kurzem so, dass unser Domänencontroller in Italien steht. Wir haben einen globalen Katalogserver bei uns stehen. So wie ich das verstehe, sollte der Zertifikatserver auf dem DC, sprich in Italien für die gesamte Domäne installiert werden. Wer schon einmal mit Italienern diskutiert hat, weiss dass man Stunden mit denen reden kann ohne etwas zu bewirken. Gibt es für mich vielleicht eine "Insellösung". Ich würde schon gerne, dass sich die User mit der Windowsanmeldung am Radius authentifizieren. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Moin, Politik und Technik unter einen Hut zu bringen, ist nicht immer einfach. Ohne genaue Kenntnisse des Unternehmens und der genauen Anforderungen wird es bei politisch motivierten Entscheidungen in einem Forum problematisch. Vielleicht solltest Du für das Thema externe Unterstützung hinzuziehen. Manchmal kann ein Externer mit gleichen Argumenten mehr bewirken, als jemand aus der internen IT. PS: Falls Du mit 'Zertifikatserver' eine Windows CA meinst, dann hat die nichts auf einem DC verloren. Zitieren Link zu diesem Kommentar
Marcin_K 1 Geschrieben 2. Februar 2015 Melden Teilen Geschrieben 2. Februar 2015 Danke für die Antworten. Bei uns ist es jetzt seit kurzem so, dass unser Domänencontroller in Italien steht. Wir haben einen globalen Katalogserver bei uns stehen. So wie ich das verstehe, sollte der Zertifikatserver auf dem DC, sprich in Italien für die gesamte Domäne installiert werden. Wer schon einmal mit Italienern diskutiert hat, weiss dass man Stunden mit denen reden kann ohne etwas zu bewirken. Gibt es für mich vielleicht eine "Insellösung". Ich würde schon gerne, dass sich die User mit der Windowsanmeldung am Radius authentifizieren. Hallo Wenn der Domänecontroller im Ausland (in der Zentrale) steht, sollte auch der Zertifikatserver dort stehen. Das heißt nicht, dass die Zertifikatsdienste auf dem Domänecontroller eingerichtet werden sollen, aber dass sie über ein IT-Team in der Zentrale verwaltet werden. Also das Installierung sie in deiner lokalen Umgebung klappt eher nicht. Aber du kannst einen Radius-Server bei dir einrichten (jetzt heißt es "Network Policy Server"), um die Authentifizierung des Zugriffes zum WiFi-Netzwerk mit der Windowsanmeldung zu benutzen. Grüße Marcin Zitieren Link zu diesem Kommentar
wieckie 10 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 Danke für die Antworten. Ich habe mir nun über einen IIS ein Zertifikat erstellt, importiert, PEAP, MS-CHAPV2 am NPS, AP und Client eingerichtet und es funktioniert. Spricht etwas gegen selbstsignierte Zertifikate in einer kleinen Produktivumgebung (15 Clients)? Eventl. würde ich sonst eins kaufen. Windows CA-Diskussionen würde ich mir dann ersparen. Danke Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Gegen selbst erstellte spricht gar nix. Zitieren Link zu diesem Kommentar
wieckie 10 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 Wo ist dann der Unterschied zwischen den selbst erstellten, wie bei mir über IIS, und den käuflich zu erwerbenden? Das ist mir nicht klar. Und der Vorteil von einer Windows CA ist also u. a. das automatische erneuern und verwalten der Zertifikate, ansonsten sind die Zertifikate die selben? Danke Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. Februar 2015 Melden Teilen Geschrieben 3. Februar 2015 Gekaufte Zertifikate kosten Geld :D . Sie haben aber den Vorteil, dass externe Stellen diesen Zertifikaten vertrauen. Für rein interne Zwecke ist es i.d.R. unnötig, ein kommerzielles Zertifikat zu nutzen. Eine 'echte' CA bietet eine ganze Reihe von Möglichkeiten. Die ausgestellten Zertifikate sind nicht diselben. Bei einem IIS Zertfikat gibt es nur den Verwendungszweck 'Serverauthentifizierung'. Eine vollwertige CA bietet deutlich mehr, bis hin zu eigenen Verwenungszwecken und Richtlinien. PS: Das Zertifikat jeder Root CA ist selbstsigniert http://de.wikipedia.org/wiki/Public-Key-Infrastruktur https://technet.microsoft.com/de-de/library/cc753828.aspx Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.