Vraag : Het vormen van de Draadloze Authentificatie van de Computer met Certificaten in Vensters 7

Howdy allen -

I heeft 10 laptops die Vensters 7 in werking stellen de Professionele behoefte van I op te stellen.  Laptops zullen door gebruikers worden gedeeld en zij zullen draadloos zijn.  Ik heb de toegangspunten van Cisco WAP4410N die wPA2-Onderneming steunen en de STRAAL authentication.

I certificaten zou willen gebruiken om de computers aan het draadloze netwerk vóór gebruikersopening van een sessie voor authentiek te verklaren, bevestig de gebruiker die enkel als een andere domeincomputer het programma openen die zij zou registreren in.   In het geval dat de computer wordt gestolen of verloren die, wil ik de certificaten herroepen aan de computer worden verstrekt zodat het niet op mijn draadloos netwerk kan meer worden gebruikt.  Ik ook wil de geen Gebruiker van Joe Q zijn laptop van huis kunnen brengen en op ons bedrijf draadloos netwerk krijgen.     Fundamenteel als wij hen niet een draadloze apparatenopstelling voor het bedrijf draadloze netwerk verschepen, wil ik hen niet iets gebruiken wirelessly.

I heb domein van de Folder van Vensters Actief één enkel bos, één enkel bij het Inheemse bos van 2003 en domein functionele niveaus.   Ik heb een standaarduitgave gelijkstroom van Vensters 2008 R2, een standaarduitgave gelijkstroom van Vensters 2003 R2 en een standaarduitgave gelijkstroom van Vensters 2003.  De rollen FSMO worden momenteel gedeeld op 2 2003 dc's, zijn alle 3 globale catalogi.   (betwijfel dit maakt een verschil voor het probleem maar de details wil worden daar, is geen hiervan virtuele machines);  momenteel heb ik overal geen problemen van de domeinopening van een sessie aangaande mijn netwerk, functioneert de replicatie tussen 3 die DCs.

I heeft een machine als een interne Van de Certificatie onderneming Instantie wordt gevormd die de uitgave van de Onderneming van 2008 R2 is.  CA is gemachtigd in ADVERTENTIE en openbare sleutel van zijn zelf wordt de ondertekende certificaat opgesteld door GPO aan de vertrouwde op opslag van het wortelcertificaat op al domein aansloot zich bij machines.  Ik heb opstelling/toegestaan de autokwestie van het certificaat van de Authentificatie van het Werkstation V2 dat wanneer ik om het verzoek, schijnt te werken.   De certificatieInstantie is de enige dienst die op de gastheer (zijn virtueel, zou maar het geen verschil moeten maken) lopen

I heeft opstelling een geval van de Norm van de Server 2008 van Vensters R2 met NPS en gebruikte de tovenaar om de configuratie voor Draadloze authentificatie te beginnen 802.1x.   Ik gaf ook de server NPS uit een IAS -/certificaat van de Straal CA. van mijn intern.  Ik heb één van de toegangspunten (enige ben ik vestiging tot dusver) als straalcliënt gevormd en dat de gedeelde geheime gelijken op het apparaat en de server, WAP juiste statische IP en vice versa voor de NPS straal client.

On mijn Beleid heeft van het nps- verbindingsverzoek ervoor gezorgd, heb ik 2 regels - Draadloze Verbindingen
Secure - toegelaten @priority 1 - NAS haventype andere radio - of draadloos IEEE 802.11, lokale computer als authentificatieleverancier en treed authentificatie met voeten ben de Authentificatie van Vensters disabled.
Use voor alle gebruikers - heeft sommige dag & tijdrestructions die hoeveelheid 7 00:00 van de dagen pwer week - 24: 00 met authentificatieleverancier over het lokale Beleid van het Netwerk computer.




Under zijn er 4 regels:
1 - domeincomputers - machinegroepen:   leepdc \ domeincomputers, de gebruikers van het gebruikersgroepen leepdc domein \ - volledig netwerk access
2 verlenen - veilige radio - NAS haventype als radio ander of Draadloos IEEE 802.11, het domeingebruikers van venstersgroepen of domeincomputers die, auth type = PEAP, toegestaan EAP:  Het de Slimme kaart of certificaat van lidstaten, of de slimme kaart van lidstaten PEAP- of andere cert, machinegroep:  domein computers.   Voor gelijke, wordt het volledige beleid van de netwerkaccess.
No gezondheid/>

For/, het firewall op de doos CA en NPS is volledig gehandicapt testen zuiveren.  Ik heb communicatie tussen de servers CA en NPS naast WAP verzekerd.  


So nu ik probeer om de vensters wirelessly te vormen 7 machines aan authentificatie op het machine/computerniveau en dan om het even welke domeingebruiker toe te staan om het programma te openen.   Ik heb dat de WLAN autoconfigdienst en lopend is begonnen ervoor gezorgd, heb ik een draadloos verbindingsprofiel met de naam SSID op mijn toegangspunt gecre�ërd (dat breed afgietsel is).  De eigenschappen zijn als volgt:
- verbindt automatisch wanneer netwerk in range
connect zelfs als het netwerk/>- het geen type van Veiligheid SSID
- het Type van Encryptie wPA2-Enterprise-:  Lidstaten Beschermde EAP (PEAP), herinnert geloofsbrieven,
-- onder montages bevestig ik het servercertificaat en mijn intern CA certificaat gecontroleerd.   de authentificatie methode is slimme kaart of ander certificaat die een certificaat op deze computer met selectie van het gebruiks de eenvoudige certificaat gebruiken en opnieuw, heeft mijn interne CA in de vertrouwde op wortel authorities.
- snel opnieuw aansluit is checked
Under geavanceerde montages geselecteerd/>

Under 802.11 heb geprobeerd, heb ik de gebreken van toelaat pairewise loper caching


Using verlaten de lokale MMC Certificaten binnen breken, heb ik een certificaat van de werkstationauthentificatie met onder eigenschappen voor cliëntauthentificatie in de persoonlijke certificatenopslag de computercontext (en onder de gebruikerscontext eveneens hebben geprobeerd), in het geval van dit testlaptop, elke context heeft certificate.

When die ik heb geprobeerd om te verbinden, krijg ik een baloon pop omhoog vertellend me dat een certificaat aan conneect aan mijn SSID wordt vereist en om mijn beheerder te contacteren.  Ik word nooit met een optie voorgesteld om een certificate.

I te plukken heb geprobeerd het gebruiken netsh ras plaatste vinden * toegelaten tijdens verbinding atttemtps om wat extra registrereninformatie te grijpen.   Gebaseerd bij het herzien van de logboekdossiers, is met de meest relevante informatie (dat ik kan bepalen) %systemroot% \ vindend \ svchost_RASTLS.log die ik de recentste output van below.

The- certificaatknoeiboel in het logboek beantwoord aan de verstrekte certificaten in de computeropslag heb omvat.   Zo vindt het die maar stumped het gebruiken van geen them.

I am werkelijk vriendelijk van, en niet zeker waar ik - verkeerd type van certificaat ontbreek, NPS misconfigured het gevormde beleid mis of de cliënt.    Ik ben van mening dat aangezien de cliënt het netwerk ziet en me de behoefte van I een geldig certificaat vertelt, ik zeer dicht ben en iets zeer kleine mis-configured.

I kan elabortate verder op om het even welke configuraties heb indien nodig maar hopelijk bovengenoemd genoeg detail voor een samenvatting van de relevante zeer gewaardeerde gedeelten van mijn network.

Suggestions heeft verstrekt!

Mark L.
" codeBody "
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
" notpretty "
 [5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: PeapGetIdentity keerde de identiteit als host/LAPTOPT terug
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: PeapReadConnectionData
[5112] 16:47 06-13: 42: 673: IsIdentityPrivacyInPeapConnPropValid
[5112] 16:47 06-13: 42: 673: PeapReadUserData
[5112] 16:47 06-13: 42: 673: Geen overgegaane Credentails
[5112] 16:47 06-13: 42: 673: RasEapGetInfo
[5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: PeapReDoUserData
[5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInvokeIdentityUI
[5112] 16:47 06-13: 42: 673: De vlaggen van GetCertInfo: 0x100a2
[5112] 16:47 06-13: 42: 673: GetDefaultClientMachineCert
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Voor alle doeleinden: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Het aantal van EKUs op cert is 1
[5112] 16:47 06-13: 42: 673: Cert heeft CDP maar heeft AIA OCSP geen uitbreiding
[5112] 16:47 06-13: 42: 673: FCheckTimeValidity
[5112] 16:47 06-13: 42: 673: FCheckUsage: Voor alle doeleinden: 1
[5112] 16:47 06-13: 42: 673: DwGetEKUUsage
[5112] 16:47 06-13: 42: 673: Het aantal van EKUs op cert is 3
[5112] 16:47 06-13: 42: 673: Cert heeft CDP maar heeft AIA OCSP geen uitbreiding
[5112] 16:47 06-13: 42: 673: Vond Machine Cert op machinename, cliënt wordt gebaseerd die auth,
 tijd geldigheid.
[5112] 16:47 06-13: 42: 673: Gedaane GetDefaultClientMachineCert.
[5112] 16:47 06-13: 42: 673: Kreeg de standaardMachine Cert
[5112] 16:47 06-13: 42: 673: Met succes geworden certificaat. De knoeiboel volgt
[5112] 16:47: 42: 673: D9 41 67 6B 1C 1E 1E 5A B0 01 12 99 1E 43 5D 82 |. Agk… Z.
… C]. |
[5112] 16:47: 42: 673: 9A 45 1E de EG 00 00 00 00 00 00 00 00 00 00 00 00 |. E ........
...... |
[5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: PeapGetIdentity keerde de identiteit als host/LAPTOPT terug
EST.lmfj.com
[5112] 16:47 06-13: 42: 673: Eap-TLS gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673:  De zelf Ondertekende Certificaten zullen niet geselecteerd worden.
[5112] 16:47 06-13: 42: 673: Eap-TLS zal cert Voor alle doeleinden goedkeuren
[5112] 16:47 06-13: 42: 673: EapTlsInitialize2: PEAP gebruikend cert Voor alle doeleinden
[5112] 16:47 06-13: 42: 673: PEAP zal cert Voor alle doeleinden goedkeuren

Antwoord : Het vormen van de Draadloze Authentificatie van de Computer met Certificaten in Vensters 7

Technisch er is geen dergelijk ding zoals gebruikersautoenrollment. Maar er zijn hoepels u kunt springen door om iets zeer gelijkaardig te krijgen. In de meeste gevallen niettemin, vind ik dat u zonder gebruikerscertificaten kunt totaal weggaan. Zie of dit werk:

Voor uw server NPS, neem uw netwerkbeleid en verwijder de groep van de gebruikersveiligheid. Dat beleid zal *only* van toepassing zijn op werkstations.

Cre�ër een ander beleid dat een duplicaat hierboven van is, maar voeg *only* de groep van de gebruikersveiligheid toe. In de Peap- authentificatiesectie, verwijder slimme kaarten en voeg lidstaten-KLOOFJE v2 toe. Dat zal wachtwoordauthentificatie voor gebruikers toestaan.

tot slot op de cliënten, in PEAP staan de geavanceerde montages, zowel certificaten als lidstaten-KLOOFJE v2 toe. Aangezien NPS geenCHAPv2 voor computerrekeningen (wegens het netwerkbeleid hierboven) zal toestaan en NPS zal niet toestaan de certificaatauthentificatie voor gebruikersrekeningen (wegens het nieuwe beleid hebben gecre�ërd dat wij) u krijgt het netto- effect van de twee zijn authenticatonregelingen die wederzijds - exclusief, alhoewel zij allebei geselecteerd=worden= op de cliënt.

Als alles regelmatig werkt, zou dat u het gewenste effect moeten geven zonder de smerige scenario's van het certificaatbeheer te vereisen.

Andere oplossingen  
 
programming4us programming4us