todde_hb 4 Geschrieben 9. März 2018 Melden Teilen Geschrieben 9. März 2018 (bearbeitet) Hallo, möchte mich mal zu einem Thema schlau machen und wollte hier mal grob nachfragen, was es für mein Szenario benötigt. Also, es sollen in einer Testumgebung in Zukunft alle WIFI Clients sich nicht mehr mittels Benutzername/Passwort anmelden am AP, sondern ausschließlich per Zertifikat. Mein Verständnis dazu ist soweit, dass der AP Radius unterstützen muss, dass ich die NPS Rolle auf einem Memberserver installieren muss und dass der AP dann im NPS als Client angelegt wird. Ist das soweit richtig? Was mich jetzt noch etwas umtreibt ist die Frage, wie die Clients an gültige Zertifikate kommen. Installieren werde ich natürlich noch die Zertifikatsrolle. Eine Verteilung per GPO erscheint mir der richtige Weg, aber dazu müssten die Clients die Policy mitbekommen, also kann ich die Umstellung am AP ja erst nach diesem Vorgang einrichten. Was mache ich mit später hinzugefügten Clients, also wenn AP schon auf Radius umgestellt ist und der Client keine Möglichkeit hat, mit dem DC zu kommunizieren? Klar, ich kann ihn erstmal ans Kabel hängen, aber ein vollautomatischer Weg wäre mir ehrlich gesagt lieber. Wie werden denn die Clientzertifikate überhaupt erstellt, also manuell z.B. per Webregistrierung, oder bekommt jeder Domänenclient automatisch ein individuelles ausgestellt? Benötigt es eigentlich den Forefront von Microsoft für diese Szenario? Ciao und ein sonniges Wochenende. bearbeitet 9. März 2018 von todde_hb Rechtschreibefehler Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. März 2018 Melden Teilen Geschrieben 9. März 2018 vor 3 Minuten schrieb todde_hb: NPS Rolle auf einem Memberserver installieren muss u Musst du nicht auf einem member installieren. Ist einer von wenigen Diensten die auf einem Dc durchaus Berechtigung haben können. Ja es muss einen enrollment process geben, der dann auch eingehalten wird. Ob du das per lan (ohne portsecurity) oder manuell oder sonst wie erledigst ist egal. ;) vor 6 Minuten schrieb todde_hb: Benötigt es eigentlich den Forefront von Microsoft für diese Szenario? Wer ist denn „der forefront von Microsoft“? Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 9. März 2018 Autor Melden Teilen Geschrieben 9. März 2018 vor einer Stunde schrieb NorbertFe: Musst du nicht auf einem member installieren. Ist einer von wenigen Diensten die auf einem Dc durchaus Berechtigung haben können. Ja es muss einen enrollment process geben, der dann auch eingehalten wird. Ob du das per lan (ohne portsecurity) oder manuell oder sonst wie erledigst ist egal. ;) Wer ist denn „der forefront von Microsoft“? Keine Ahnung, was der Forefront ist, aber hier wird es erwähnt . War wohl früher der ISA Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 9. März 2018 Melden Teilen Geschrieben 9. März 2018 Hallo todde_hb, erstmal schön, dass du uns gefunden hast und willkommen on Board. Darf ich dich bitten zukünftig deine Fragestellungen besser strukturiert zu schreiben. So unstrukturierter Fießtext wie in deinem ersten Posting ist für uns schwer zu lesen und damit schwer zu serstehen. Je besser deine Fragestellungen für uns zu lesen sind und je besser wir verstehen, was genau dein Problem ist, umso besser können wir dir helfen. Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 9. März 2018 Autor Melden Teilen Geschrieben 9. März 2018 @Dr.Melzer Hallo, ja, werde versuchen es übersichtlicher zu schreiben. @NorbertFe Was mir noch nicht ganz klar ist, wie ich die individuellen Zertifikate erstellen muss. Über certmgr manuell? Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 9. März 2018 Melden Teilen Geschrieben 9. März 2018 vor 5 Stunden schrieb todde_hb: der Forefront War noch nie ein Produkt, sondern eine Produktklasse/-Gruppierung zu der u.a. Auch das forefront Tmg gehörte. Das ist inzwischen seit mehreren Jahren allerdings abgekündigt, also dürfte sich deine Frage (nach dem Brauchen des forefronts) wohl erledigt haben. ;) wie du die Zertifikate anforderst ist eben davon abhängig, was du erreichen willst. Zitieren Link zu diesem Kommentar
Knorkator 12 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 Am 09.03.2018 um 16:24 schrieb todde_hb: Was mache ich mit später hinzugefügten Clients, also wenn AP schon auf Radius umgestellt ist und der Client keine Möglichkeit hat, mit dem DC zu kommunizieren? Klar, ich kann ihn erstmal ans Kabel hängen, aber ein vollautomatischer Weg wäre mir ehrlich gesagt lieber. Wie werden denn die Clientzertifikate überhaupt erstellt, also manuell z.B. per Webregistrierung, oder bekommt jeder Domänenclient automatisch ein individuelles ausgestellt? So oft wird das mit dem Kabel doch nicht vorkommen, oder? Bei uns bekommen die Notebooks (AD Gruppe: Radius-Clients) automatisch die Clientzertifikate zugewiesen. Schau mal hier: https://www.andysblog.de/windows-automatische-zertifikatverteilung-certificate-autoenrollment-einrichten In der der gleichen GPO werden auch die Information für die WLAN Verbindung mit übergeben. Beim nächsten Neustart ist das Gerät dann gleich per WLAN verbunden ohne das der User etwas tun muss. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 vor 12 Minuten schrieb Knorkator: So oft wird das mit dem Kabel doch nicht vorkommen, oder? Nur bei jedem Neu-Deployment würde ich sagen. WIe oft man sowas braucht und wie man dazu die Infrastruktur baut, hängt eben von den Anforderungen ab. Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 12. März 2018 Autor Melden Teilen Geschrieben 12. März 2018 vor einer Stunde schrieb Knorkator: So oft wird das mit dem Kabel doch nicht vorkommen, oder? Bei uns bekommen die Notebooks (AD Gruppe: Radius-Clients) automatisch die Clientzertifikate zugewiesen. Schau mal hier: https://www.andysblog.de/windows-automatische-zertifikatverteilung-certificate-autoenrollment-einrichten In der der gleichen GPO werden auch die Information für die WLAN Verbindung mit übergeben. Beim nächsten Neustart ist das Gerät dann gleich per WLAN verbunden ohne das der User etwas tun muss. Danke für den Link. Schaue es mir gerade an und versuche es, auf dem Windows Server 2016 nachzustellen. Leider scheitere ich gerade an dem Punkt, an dem an in certsvr die Zertifikatvorlage für Computer auswählen soll, um dann "Doppelte Vorlage zu wählen". Bei mir erscheint nur "delete, properties,help" Wurde im 2016er etwas geändert? Ah, habs gerade selbst herausgefunden Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 Rechtsklick auf Vorlagen und dort dann "Verwalten". ;) Alternativ eigene MMC von Hand öffnen für die Vorlagen. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. März 2018 Melden Teilen Geschrieben 12. März 2018 Am 9.3.2018 um 21:27 schrieb todde_hb: @Dr.Melzer Hallo, ja, werde versuchen es übersichtlicher zu schreiben. Danke Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 15. März 2018 Autor Melden Teilen Geschrieben 15. März 2018 So, bisher hat alles funktioniert. Danke für die Unterstützung. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.