2
Zertifikatsdienste. ja oder nein?
Hallo zusammen,
wir haben hier einige Notebooknutzer die es nie schaffen, das Notebook am LAN-Kabel zu betreiben, daher überlege ich immer mal wieder ob ich nicht doch die Radius-Auth implementieren soll.
Bisher habe ich mich immer um dieses Thema gedrückt weil es nie eine entsprechende Anforderung gab.
Ohne Radius-Auth soll die Computer-GPO-Verarbeitung ja nicht funktionieren, bisher kommen aber keine Klagen der Notebooknutzer.
Ich bin mir unsicher ob die MS Zertifikatsdienste (+ NPS) der richtige/einzige Weg sind.
Es gibt ja zuhauf Anleitungen die sich u.a. mit der Automatischen Zertifikatsverteilung an Clients/User befassen, aber werden diese nur an Notebook OUs verteilt oder an alle?
Welchen Vorteil / welche Möglichkeiten habe ich noch durch die Zertifikatsdienste / die Verteilung an Clients/User?
Wir haben folgende Umgebung:
- Windows Server 2012 Domäne
- Clients mit Win7 Pro und Win8.1 Pro
- Unifi Access Points mit:
1x Wlan Intern
1x Wlan Gäste (Vlan, Voucher sowie Trennung an der FW)
Ich habe ein komplettes Testnetzwerk incl. Wlan zur Verfügung und möchte mich in die Thematik einarbeiten sofern dies sinnvoll erscheint.
Vielen Dank für jeden Ratschlag!
wir haben hier einige Notebooknutzer die es nie schaffen, das Notebook am LAN-Kabel zu betreiben, daher überlege ich immer mal wieder ob ich nicht doch die Radius-Auth implementieren soll.
Bisher habe ich mich immer um dieses Thema gedrückt weil es nie eine entsprechende Anforderung gab.
Ohne Radius-Auth soll die Computer-GPO-Verarbeitung ja nicht funktionieren, bisher kommen aber keine Klagen der Notebooknutzer.
Ich bin mir unsicher ob die MS Zertifikatsdienste (+ NPS) der richtige/einzige Weg sind.
Es gibt ja zuhauf Anleitungen die sich u.a. mit der Automatischen Zertifikatsverteilung an Clients/User befassen, aber werden diese nur an Notebook OUs verteilt oder an alle?
Welchen Vorteil / welche Möglichkeiten habe ich noch durch die Zertifikatsdienste / die Verteilung an Clients/User?
Wir haben folgende Umgebung:
- Windows Server 2012 Domäne
- Clients mit Win7 Pro und Win8.1 Pro
- Unifi Access Points mit:
1x Wlan Intern
1x Wlan Gäste (Vlan, Voucher sowie Trennung an der FW)
Ich habe ein komplettes Testnetzwerk incl. Wlan zur Verfügung und möchte mich in die Thematik einarbeiten sofern dies sinnvoll erscheint.
Vielen Dank für jeden Ratschlag!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339424
Url: https://administrator.de/contentid/339424
Printed on: May 5, 2024 at 00:05 o'clock
2 Comments
Latest comment
Hi,
das ist auch gerade meine Frage:
Welche Art der Authentisierung benutzt ihr bei WLAN WPA-Enterprise?
Im Moment bin ich wieder auf dem Stand das es WLAN Benutzername/Passwort reichen, aber das werden wir noch intern besprechen.
Nur wegen der RADIUS-Funktion brauchst du jedenfalls keine Zertifikatsdienste, da reicht der Netzwerkrichtlinienserver (da ist der RADIUS) drin, das AD und APs die WPA Enterprise unterstützen.
So, jetzt kannst du dir, wie ich, überlegen ob du Zertifikate brauchst oder nicht
VG,
deepsys
das ist auch gerade meine Frage:
Welche Art der Authentisierung benutzt ihr bei WLAN WPA-Enterprise?
Im Moment bin ich wieder auf dem Stand das es WLAN Benutzername/Passwort reichen, aber das werden wir noch intern besprechen.
Nur wegen der RADIUS-Funktion brauchst du jedenfalls keine Zertifikatsdienste, da reicht der Netzwerkrichtlinienserver (da ist der RADIUS) drin, das AD und APs die WPA Enterprise unterstützen.
So, jetzt kannst du dir, wie ich, überlegen ob du Zertifikate brauchst oder nicht
VG,
deepsys
Danke für den Hinweis!
Habe mich inzwischen in das Thema eingelesen und habe Radius mit Computerzertifikaten in der Testumgebung laufen.
Da es mir vorrangig um die GPO-Verarbeitung/Wlan vor der Benutzeranmeldung ging, habe ich die Windows-CA mit Automatischer Verteilung von Clientzertifikaten per GPO gewählt.
Funktioniert auch super und ist kein Hexenwerk wenn die Schritte einmal verstanden hat.
Clientzertifikate für Android/IOS habe ich jedoch noch nicht getestet da diese Geräte (bis auf 2) eh im Gästenetzwerk sind..
Zusätzlich habe ich noch die Authentifizierung per "Microsoft: Geschütztes EAP (PEAP)" getestet um alle Optionen mal durchzuspielen.
Wenn ich PEAP bei der Authentifizierungsmethode auswähle, muss ich dann auf dem Client (Android) nicht die Windows-CA als vertrauenswürdige Stammzertifizierungsstelle hinzufügen?
Die weniger sicheren Authentifizierungsmethoden habe ich deaktiviert.
Trotzdem reicht es aus, wenn ich die Login-Daten des Domänenbenutzers dort verwende.
Habe mich inzwischen in das Thema eingelesen und habe Radius mit Computerzertifikaten in der Testumgebung laufen.
Da es mir vorrangig um die GPO-Verarbeitung/Wlan vor der Benutzeranmeldung ging, habe ich die Windows-CA mit Automatischer Verteilung von Clientzertifikaten per GPO gewählt.
Funktioniert auch super und ist kein Hexenwerk wenn die Schritte einmal verstanden hat.
Clientzertifikate für Android/IOS habe ich jedoch noch nicht getestet da diese Geräte (bis auf 2) eh im Gästenetzwerk sind..
Zusätzlich habe ich noch die Authentifizierung per "Microsoft: Geschütztes EAP (PEAP)" getestet um alle Optionen mal durchzuspielen.
Wenn ich PEAP bei der Authentifizierungsmethode auswähle, muss ich dann auf dem Client (Android) nicht die Windows-CA als vertrauenswürdige Stammzertifizierungsstelle hinzufügen?
Die weniger sicheren Authentifizierungsmethoden habe ich deaktiviert.
Trotzdem reicht es aus, wenn ich die Login-Daten des Domänenbenutzers dort verwende.
