Frage : Zusammenbauende drahtlose Computer-Authentisierung mit Bescheinigungen in Windows 7

Grüß dich alle -

I haben 10 Laptope, Fachmann Windows-7 laufen zu lassen, den ich entfalten muss.  Laptope werden von den Benutzern geteilt und sie sind drahtlos.  Ich habe Zugangspunkte Cisco-WAP4410N, die WPA2-Enterprise stützen und RADIUS authentication.

I Bescheinigungen benutzen möchte, um die Computer zum drahtlosen Netzwerk vor Benutzer-LOGON zu beglaubigen, validiere den Benutzer, der gerade wie jeder möglicher andere Gebietscomputer anmeldet, den sie in loggen würden.   Im Falle dass der Computer gestohlen oder verloren ist, möchte ich die Bescheinigungen widerrufen, die zum Computer ausgestellt werden, damit er nicht auf meinem drahtlosen Netzwerk mehr benutzt werden kann.  Ich auch wünsche Benutzer Joe-Q nicht in der Lage sein, seinen Laptop vom Haus zu holen und auf unserem Firma-drahtlosen Netzwerk zu erhalten.     Im Allgemeinen, wenn wir sie nicht ein drahtloser Apparat versenden, der für das Firma-drahtlose Netzwerk gegründet wird, wünsche ich sie nicht, das etwas verwenden, haben wirelessly.

I einen einzelnen Wald des Windows-aktiven Verzeichnisses, ein einzelnes Gebiet bei gebürtigem Wald 2003 und Gebietsfunktionsniveaus.   Ich habe ein Standardausgabe R2 DC Windows-2008, ein Standardausgabe R2 DC Windows-2003 und ein Standardausgabe DC Windows-2003.  FSMO Rollen werden auf den 2 2003 DCs z.Z., alle 3 sind globale Kataloge geteilt.   (zweifeln, dass dieses unterscheidet, für das Problem aber die Details heraus erhalten möchte dort, keine von diesen sind virtuelle Maschinen);  z.Z. habe ich keine Gebiets-LOGON-Probleme überall in meinem Netz, Reproduktion arbeite zwischen den 3 DCs.

I habe eine Maschine, die als interne Unternehmens-Bescheinigung-Berechtigung zusammengebaut wird, die Geschäftsversion 2008 R2 ist.  Der CA wird in der ANZEIGE autorisiert und sein allgemeiner Schlüssel der Selbstunterzeichneten Bescheinigung wird durch GPO zum verlässlichen Wurzelbescheinigungsspeicher auf allen Gebiet verbindenden Maschinen entfaltet.  Ich habe die Selbstausgabe der Bescheinigung der Arbeitsplatz-Authentisierung V2 gegründet/erlaubte, die scheint, wenn ich um sie bitte, zu arbeiten.   Die Bescheinigung-Berechtigung ist der einzige Service, der auf das Wirt läuft (sein virtuelles, aber es sollte nicht unterscheiden),

I, einen Fall des Standards R2 des Windows-Server-2008 mit NPS gegründet zu haben und den Zauberer verwendet zu haben, um die Konfiguration für drahtlose Authentisierung 802.1x zu beginnen.   Ich gab auch den NPS Bediener eine IAS-/Radiusbescheinigung von meinem internen CA heraus.  Ich habe einen der Zugangspunkte (das einzige, das ich bis jetzt gründe), als Radiusklient zusammengebaut und garantiert, dass die geteilten geheimen Gleichen auf der Vorrichtung und dem Bediener, das WAP das korrekte Static IP und umgekehrt für das NPS Radius client.

On meine NPS Aufforderung zum Aufbau einer Verbindungpolitik hat, habe ich 2 Richtlinien -
Secure drahtlose Anschlüsse - das ermöglichte @priority 1 - NAS-Portart Radioapparat - andere, oder drahtloses IEEE 802.11, ist lokaler Computer als die Authentisierungsversorger- und -übersteuerungsauthentisierung disabled.
Use Windows Authentisierung für alle Benutzer - hat einige Tag- u. Zeit restructions, die Menge von 7 Tagpwer Wochen-00:00 - 24: 00 mit Authentisierungsversorger auf der lokalen computer.




Under Netz-Politik dort sind 4 Richtlinien:
1 - Gebietscomputer - Maschine gruppiert:   leepdc \ Gebietscomputer, Benutzergruppen leepdc \ Gebietsbenutzer - volles Netz access
2 bewilligend - sicherer Radioapparat - NAS-Portart als anderer Radioapparat oder drahtloses IEEE 802.11, Fenstergruppengebietsbenutzer oder Gebietscomputer, auth Art = PEAP, erlaubte EAP:  Mitgliedstaat-Chipkarte oder Bescheinigung oder Chipkarte Mitgliedstaat-PEAP- oder anderes CERT, Maschinengruppe:  Gebietscomputer.   Auf Gleichem werden volle Gesundheitspolitiken des Netzes access.

No oder Sanierungsbediener definiert (ich suche gerade RADIUS wirklich, nach HAAR).

For Prüfung/Entstörung, die Brandmauern auf dem CA-und NPS Kasten sind vollständig untauglich.  Ich habe Kommunikation zwischen den CA-und NPS Bedienern zusätzlich zum WAP sichergestellt.  


So, jetzt, das ich versuche, die Fenster 7 Maschinen zur Authentisierung auf dem Maschinen-/Computerniveau drahtlos zusammenzubauen und jedem möglichem Gebietsbenutzer dann zu erlauben anzumelden.   Ich habe, dass der WLAN Selbstkonfigurationsservice begonnen und laufend ist, ich habe verursacht ein drahtloses Anschlussprofil mit dem SSID Namen in meinem Zugangspunkt garantiert (der ausgedehntes Gussteil ist).  Die Eigenschaften sind, wie folgt:
- schließen automatisch an, wenn Netz im range
connect, selbst wenn das Netz nicht SSID
- Sicherheitsart überträgt:  WPA2-Enterprise
- Verschlüsselung-Art:  AES
- Netz authenticaiton Methode:  Mitgliedstaat geschützte EAP (PEAP), erinnern sich an Bescheinigungen,
-- unter Einstellungen validiere ich die Bedienerbescheinigung und habe meine interne CA-Bescheinigung überprüft.   Authentisierungsmethode ist Chipkarte oder andere Bescheinigung using eine Bescheinigung auf diesem Computer mit einfacher Bescheinigungsvorwähler des Gebrauches und wieder, haben vorgewählt meinen internen CA in der verlässlichen Wurzel authorities.
- wieder anschließen schnell ist checked

Under fortgeschrittene Einstellungen für 802.1x, das ich Computerauthentisierung versucht habe und „Benutzer- oder Computerauthentisierung“, wenn Benutzer vorgewählt wird, habe ich mit ermögliche SSO für dieses Netz, durchführe direkt vor Einstellungen des Benutzers logon.

Under 802.11, ich habe gelassen die Rückstellungen von ermögliche pairewise Hauptschlüssel caching


Using der lokale MMC-Bescheinigungsverschluß innen, ich habe eine Arbeitsplatzauthentisierungsbescheinigung mit Eigenschaften für Klientenauthentisierung im persönlichen Bescheinigungsspeicher unter versucht Computerzusammenhang (und haben unter dem Benutzerzusammenhang außerdem versucht), im Falle dieses Testlaptops, jeder Zusammenhang hat das certificate.

When, das ich versuche anzuschließen, erhalte ich ein baloon knalle oben, erklärend mir, dass eine Bescheinigung zum conneect zu meinem SSID angefordert wird und mit meinem Verwalter in Verbindung zu treten.  Ich werde nie mit einer Wahl dargestellt, um ein certificate.

I auszuwählen habe versucht, netsh ras die eingestellte Verfolgung zu verwenden *, die während der Anschluss atttemtps ermöglicht wird, etwas Extraloggeninformationen zu ergreifen.   Gegründet auf der Überprüfung der Protokolldateien, ist das mit der meisten relevanten Information (dieser kann ich feststellen), %systemroot% \ Spur \ svchost_RASTLS.log, dem ich den spätesten Ausgang below.

The der Bescheinigung eingeschlossen habe, hackt im Maschinenbordbuch entsprechen den ausgestellten Bescheinigungen im Computerspeicher.   So findet es jenes aber nicht using them.

I morgens wirklich Art von stumped, und nicht sicher, wo ich ausfalle - falsche Art der Bescheinigung, DIE NPS Politik mis, die zusammengebaut werden oder der misconfigured Klient.    Ich glaube dass, sieht da der Klient das Netz und mir mir erklärt, eine gültige Bescheinigung benötigen, ich bin sehr nah und habe etwas, sehr, das kleines mis-configured.

I elabortate auf irgendwelchen der Konfigurationen fördern kann, wenn erforderlich aber hoffnungsvoll das oben genannte genügend Detail für eine Zusammenfassung der relevanten Teile meines network.

Suggestions sehr geschätzt bereitgestellt hat!

Mark L.
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
6:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
 [5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: PeapGetIdentity brachte die Identität als host/LAPTOPT zurück
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: PeapReadConnectionData
[5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 16:47 06-13: 42: 673: PeapReadUserData
[5112] 16:47 06-13: 42: 673: Kein Credentails geführt
[5112] 16:47 06-13: 42: 673: RasEapGetInfo
[5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: PeapReDoUserData
[5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI
[5112] 16:47 06-13: 42: 673: GetCertInfo Markierungsfahnen: 0x100a2
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Allzweck: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Zahl von EKUs auf dem CERT sind 1
[5112] 16:47 06-13: 42: 673: CERT haben, Verdichteraustrittsdruck aber haben nicht Verlängerung AIA-OCSP
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Allzweck: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Zahl von EKUs auf dem CERT sind 3
[5112] 16:47 06-13: 42: 673: CERT haben, Verdichteraustrittsdruck aber haben nicht Verlängerung AIA-OCSP
[5112] 16:47 06-13: 42: 673: Gefundenes Maschinen-CERT basiert auf machinename, Klient auth,
 Zeitgültigkeit.
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert getan.
[5112] 16:47 06-13: 42: 673: Erhielt das Rückstellung Maschinen-CERT
[5112] 16:47 06-13: 42: 673: Erfolgreich erhaltene Bescheinigung. Durcheinander folgt
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E EC 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: PeapGetIdentity brachte die Identität als host/LAPTOPT zurück
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: EAP-TLS using Allzweckcert
[5112] 16:47 06-13: 42: 673:  Selbstunterzeichnete Bescheinigungen werden nicht vorgewählt.
[5112] 16:47 06-13: 42: 673: EAP-TLS nimmt das Allzweckcert an
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP using Allzweckcert
[5112] 16:47 06-13: 42: 673: PEAP nimmt das Allzweckcert an

Antwort : Zusammenbauende drahtlose Computer-Authentisierung mit Bescheinigungen in Windows 7

Technisch es gibt keine solche Sache wie Benutzer autoenrollment. Aber es gibt Bänder, die Sie durch springen können, um etwas sehr ähnlich zu erhalten. In den meisten Fällen zwar, finde ich, dass Sie ohne Benutzerbescheinigungen weg zusammen erhalten können. Sehen, wenn dieses arbeitet:

Auf Ihrem NPS Bediener Ihre Netzpolitik nehmen und die Benutzer entfernen Sicherheitsgruppe. Diese Politik *only* trifft auf Arbeitsplätze zu.

Eine andere Politik verursachen, die ein Duplikat von dem oben ist, aber *only* addieren die Benutzersicherheitsgruppe. Im PEAP Authentisierungsabschnitt Chipkarten entfernen und MS-CHAP v2 hinzufügen. Das erlaubt Kennwortauthentisierung für Benutzer.

schließlich auf den Klienten, in den PEAP fortgeschrittenen Einstellungen, Bescheinigungen und MS-CHAP v2 erlauben. Da NPS MS-CHAPv2 für Computerkonten (nicht wegen der Netzpolitik oben) erlaubt und NPS erlaubt nicht Bescheinigungsauthentisierung für Benutzerkonten (wegen der neuen Politik, die wir verursachten), Sie den Nettoeffekt der zwei authenticaton Entwürfe erhalten, die gegenseitig sind - Exklusives, obwohl sie beide auf dem Klienten vorgewählt werden.

Wenn alles glatt arbeitet, sollte das Ihnen die gewünschte Wirksamkeit verleihen, ohne böse Bescheinigungsmanagementdrehbücher zu erfordern.

Weitere Lösungen  
 
programming4us programming4us