我search一种方法来防止networking访问不属于我们公司Active Directory域的设备。 有些人把他们的个人笔记本电脑连接到我们的公司networking,有些人无意中造成问题。 我准备使用DHCP策略给他们一个单独的DNS名称(aliens.contoso.com),让我快速看到这样的设备是否连接(我只是看看DNS控制台)。 当客户端不属于我们的contoso.com域时,此策略被激活。 这种方法的问题是:不需要的笔记本电脑已经完全纠正了IP设置,所以用户可以使用它。 这只允许有一个单独的DNS名称。 我无法指定其他路由器或不可用的IP地址。 我们希望将不可用的IP设置分配给这些笔记本电脑。 所以用户不会使用它,或打电话给我们。 这将使我们能够确保笔记本电脑清洁,并给用户指示。 当然,他们可以手动input正确的设置,但我们很less有用户可以这样做,这将大大减less问题。 我不打算通过802.1X强制networking访问。 我知道DHCP方法较弱。 我想我们可以使用networking保护服务器(我们使用Windows 2012 R2作为我们的服务器),但我不明白如何。
我们正在为所有有线客户端使用802.1X。 我们在Server 2008R2上使用NPS作为我们的Radius服务器。 我们所有的Windows客户端只使用本地CA颁发的计算机证书进行身份validation。 问题是我们的CTO使用一个mac,所以我们需要能够让他的Mac和任何其他未来的mac在我们的networking上工作。 search各种论坛,我可以看到许多人已经使用PEAP协议为无线networking工作,但是我们想要使用EAP-TLS。 有没有人得到这个工作,如果是这样的? Mac正在运行所有更新的OSX Lion。 我试图从testing计算机中导出计算机证书,并将其导入到mac,但这没有奏效。
我们正在迁移我们的无线networking,并添加基于802.11x的RADIUS身份validation。 设置如下: 客户端连接到router01 客户端在Windows服务器上通过RADIUS进行身份validation 客户端应该连接(或不,取决于凭据:P) 所以这是发生了什么事。 除Windows 7客户端外,其他所有客户端连接成功。 计入iPhone,iPad,Macbook和Windows 8客户端。 当尝试从join域的Windows 7客户端连接到无线networking时,authentication似乎失败。 客户报告说有一个“用户帐户问题”,尽pipe它与在工作的客户端上使用的是相同的用户帐户。 以下事件logging在NPS方面: "WIN01","IAS",12/28/2014,20:32:03,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 349",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:03,11,,"DOMAIN\User",,,,,,,,0,"10.1.0.1","router01",,,,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 349",60,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:04,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 350",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:04,11,,"DOMAIN\User",,,,,,,,0,"10.1.0.1","router01",,,,,,,5,"Secure Wireless Connections",0,"311 1 10.1.0.5 12/28/2014 18:36:12 350",30,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Secure Wireless Connections",1,,,, "WIN01","IAS",12/28/2014,20:32:05,1,"[email protected]","DOMAIN\User","00-0C-F6-E2-EB-61","70-F3-95-E6-C0-26",,,"AP1","10.1.0.1",0,0,"10.1.0.1","router01",,,19,,,,5,"Secure […]
我有一个Cisco Catalyst 2960,我正尝试使用802.1X有线authenticationconfiguration远程办公室。 我要去的设置是Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8). 我们的身份validation服务器是Windows Server 2008 R2上的NPS。 我们使用支持802.1X的Snom 300手机,但是在所有的手机上configuration它并不是真的可行,所以我configuration了交换机为手机使用MAB(MAC身份validation旁路)。 这大部分工作得非常出色,手机被authentication并放入VOICE域,VLAN策略显示501,这是我们的语音VLAN。 但是,手机仍然可以完全访问数据VLAN – 我做错了什么? 这是连接端口的802.1x会话: int-remote-sw-1#show auth sessions int Fa0/9 Interface: FastEthernet0/9 MAC Address: 0004.133d.69cc IP Address: Unknown User-Name: 0004133d69cc Status: Authz Success Domain: VOICE Oper host mode: multi-domain Oper control dir: both […]
我有多个使用Microsoft PEAP和自签名证书的NPSnetworking策略。 当我们的内部CA自动更新证书时,所有的networking策略将切换到安装在NPS服务器上的另一个(看起来是随机的)证书。 发生这种情况时,无线客户端无法进行身份validation,给我们的基础设施造成严重破坏。 自签名证书所基于的证书模板会在到期前6周自动更新证书。 为了缓解这个问题,我为自己设置了一个提醒来编辑NPS策略并select更新的证书。 但是我是一名IT消防员,有时候火灾让我无法进行日常任务,甚至是重要的任务。 有没有办法告诉NPS使用更新的证书,而不是随机select一些证书?
我试图在Windows Server 2016(Datacenter)上安装NPSangular色,但是服务器pipe理器和安装Windowsfunction似乎都没有意识到它的存在: PS > Install-WindowsFeature NPAS -IncludeManagementTools Install-WindowsFeature : ArgumentNotValid: The role, role service, or feature name is not valid: 'NPAS'. The name was not found. + CategoryInfo : InvalidArgument: (NPAS:String) [Install-WindowsFeature], Exception + FullyQualifiedErrorId : NameDoesNotExist,Microsoft.Windows.ServerManager.Commands.AddWindowsFeatureCommand Success Restart Needed Exit Code Feature Result ——- ————– ——— ————– False No InvalidArgs {} 还有一些像传真服务器和Windows部署服务一样缺失的其他angular色。 还有什么需要做的安装它(和其他缺失的angular色)? […]
服务器: DALCON2 (Windows 2008R2,DC,NPS) DALCON3 (Windows 2008R2,DC) DALCON-WWW (Ubuntu服务器) 目标: 在DALCON-WWW ,使用带有TLS的adLDAP连接到域控制器LDAP服务 如果我连接到DALCON2 ,我得到: Server returned an error: [2] ldap_start_tls(): Unable to start TLS: Server is unavailable 。 如果我连接DALCON3 ,它的工作原理。 DALCON2有一个Network Policy Service (NPS)来pipe理VPN连接。 政策中没有任何具体的“否认”。 LDAP端口已打开,将在不使用TLS的情况下响应,但无法使用(需要更强的authentication)。 我在NPS中找不到与LDAP或TLS相关的任何内容。 DALCON2可能出现什么问题,我无法连接到它? 编辑 我有更多的debugging信息: 警告:ldap_start_tls():无法启动TLS:服务器在第12行的/var/www/dalcon-inc.com/dev/test/test_ldap.php中不可用 绑定到LDAP的错误:00002028:LdapErr:DSID-0C0901FC,注释:如果SSL \ TLS尚未在连接上处于活动状态,则服务器需要绑定才能打开完整性检查,数据0,v1db1 编辑 在组策略pipe理编辑器:计算机configuration,策略,Windows设置,安全设置和本地策略中,然后单击安全选项。 在右窗格中,双击域控制器:LDAP服务器签名要求策略。 同时将其设置为“无” DALCON2 : 平原:好的 SSL:绑定到LDAP的错误:推送function中的错误。 /收到一个意外长度的TLS数据包。 TLS:警告:ldap_start_tls():无法启动TLS:服务器不可用 DALCON3 […]
我正在使用RADIUS服务器(Windows 2008 R2上的NPS)集中pipe理许多思科设备(包括交换机和无线接入点)的身份validation; 我目前使用RADIUS来validationIOS控制台/ SSHlogin,并为这些设备提供对Active Directory用户的pipe理访问权限。 我正计划为无线用户实施RADIUS / AD身份validation; 这个问题的重点不是如何做到这一点,而是一个不同的问题:我如何将不同的NPS策略应用于访问IOS的用户以及访问无线访问点的用户? 我可以过滤哪些RADIUS属性以区分IOSlogin和无线login?
在我的办公室,我们使用思科WLC2504无线控制器,大约一周前,我们开始遇到与连接到我们的安全无线networking的用户有关的问题。 我们在Windows Server 2008 R2上运行AD,并使用networking策略服务器来控制对我们无线networking的访问。 当我在失败的连接尝试后查看事件查看器中的日志时,发现访问拒绝消息: 原因代码:262原因:提供的消息不完整。 签名未经validation。 在Google上查找我发现这篇文章: http : //support.microsoft.com/kb/838502 我试图禁用我的计算机上的服务器证书validation,一旦我能够连接到networking,所以似乎有某种证书validation问题。 我不确定哪个证书无法validation或者如何解决。 这曾经工作,并自行突然停止,所以我认为证书可能已经过期。 当我到NPS>策略>networking策略>我的策略>约束>身份validation方法> Microsoft PEAP并查看属性时,此处指定的证书到期在2016年,所以似乎并不认为这可能是问题。 有关如何解决此问题的任何build议?
我们有一些VoIP电话,我们想要融入到我们的PEAP WiFinetworking,我很关心只是创build一个标准的AD帐户,并使用它。 如果有人获得了这样的长期帐户凭证,他们就可以使用它们login主机并访问networking资源 有一些策略/设置选项用于locking本地访问,但不适用于networking访问。 例如,“login到”选项允许您限制帐户可以访问的机器,但与NPS /域控制器交谈的WiFi访问点似乎使用主机“” – 即不设置该variables。 整个解决scheme似乎只对域成员的Windows计算机工作 – 如果用户来自Unix / Mac系统(例如PEAP) 这可以扩展为关于如何使用Active Directory进行非Windows身份validation(例如LDAP)的更一般的问题。 我还没有看到任何真正的答案,所以担心这可能是不可能的 – 但你要问的权利? 🙂