2
Automtisch WLAN Profil ändern nach AD-Join für EAP-TLS !?
Hi,
ich habe in meinem WLAN WPA2-Enterprise über EAP-TLS ingegriert und es läuft.
Jetzt habe ich folgendes Szenario.
Ein AP straht ein WLAN aus, welches über NPS Netzwerkrichtlinie gesteuert wird:
- Meldet sich ein fabrikneuer Client am WLAN an, der kein Cert besitzt, wird er nach einem WLAN-PW gefragt und kommt in ein bestimmts VLAN, welches über eine FW nur die Möglichkeit hat, sich am AD anzumelden.
- Nach dem Domain-Join bekommt der Client über Auto-Enroll ein Cert ausgestellt, welches zukünftig für die WPA2-Enterprise EAP-TLS Authentifizierung am gleichen WLAN verwendet werden soll.
- Ist das Zertifikat auf dem Client und man hat das alte WLAN-profil gelöscht, kann man sich erneut am WLAN anmelden, diesmal automatisch über das Cert, und kommt dann im gleichen WLAN in ein anderes VLAN, welches dem Office-Netz entspricht.
Kennt jemand einen Weg wie man nun automatisiert das alte WLAN-Profil löschen/ersetzten kann?
Ich habe es schon mit GPOs probiert, aber da kommt es meistens vor, dass das WLAN-Profil schon geändert wird, bevor das Cert vom CA-Server überhaupt am Client angekommen ist!
Jemand eine Idee, oder gibt es dafür schon ein BP den ich noch nicht kenne?
Würde mich über Tipps freuen.
VG, glados
ich habe in meinem WLAN WPA2-Enterprise über EAP-TLS ingegriert und es läuft.
Jetzt habe ich folgendes Szenario.
Ein AP straht ein WLAN aus, welches über NPS Netzwerkrichtlinie gesteuert wird:
- Meldet sich ein fabrikneuer Client am WLAN an, der kein Cert besitzt, wird er nach einem WLAN-PW gefragt und kommt in ein bestimmts VLAN, welches über eine FW nur die Möglichkeit hat, sich am AD anzumelden.
- Nach dem Domain-Join bekommt der Client über Auto-Enroll ein Cert ausgestellt, welches zukünftig für die WPA2-Enterprise EAP-TLS Authentifizierung am gleichen WLAN verwendet werden soll.
- Ist das Zertifikat auf dem Client und man hat das alte WLAN-profil gelöscht, kann man sich erneut am WLAN anmelden, diesmal automatisch über das Cert, und kommt dann im gleichen WLAN in ein anderes VLAN, welches dem Office-Netz entspricht.
Kennt jemand einen Weg wie man nun automatisiert das alte WLAN-Profil löschen/ersetzten kann?
Ich habe es schon mit GPOs probiert, aber da kommt es meistens vor, dass das WLAN-Profil schon geändert wird, bevor das Cert vom CA-Server überhaupt am Client angekommen ist!
Jemand eine Idee, oder gibt es dafür schon ein BP den ich noch nicht kenne?
Würde mich über Tipps freuen.
VG, glados
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 638910
Url: https://administrator.de/contentid/638910
Printed on: April 23, 2024 at 08:04 o'clock
2 Comments
Latest comment
Hi
ich würde einfach ein Script laufen lassen, das prüft ob das Zertifikat vorhanden ist und wenn ja, dann per netsh das wlan profil löschen (netsh wlan delete profile name="network-name")
ich würde einfach ein Script laufen lassen, das prüft ob das Zertifikat vorhanden ist und wenn ja, dann per netsh das wlan profil löschen (netsh wlan delete profile name="network-name")
danke SeaStorm, genau das habe ich auch schon gemacht.
Funktioniert, dachte nur es gäbe vielleicht ein eleganteren Weg, anstatt clients mit einem permanenten Logon-Script zu versehen.
Funktioniert, dachte nur es gäbe vielleicht ein eleganteren Weg, anstatt clients mit einem permanenten Logon-Script zu versehen.
