[2003 IAS] Certificaat probleem

Hallo tweakers,

We zijn bezig wireless uit te rollen binnen ons bedrijf.

Alles tot zover gaat goed. Zelfs aanmelden op een ander SSID en dan in een ander vlan gestopt worden werkt perfect.

IAS server opgezet.
Self Signed Certificate gemaakt en deze gebruikt voor een remote policy.

Alleen snap ik het nut niet zo goed van dit certificaat. Wordt dit alleen gebruikt voor encryptie?

Het probleem is als volgt. Ik installeer een certificaat op een client (nu nog handmatig straks via een policy) stel daarna het wireless profiel in om gebruik te maken van PEAP en vink "Servercertificaat verifieren" aan en selecteer daarna het geinstalleerde certificaat.

Ook dit werkt nog de client maakt netjes verbinding, alleen willen de computer opstartscripts niet lopen. Microsoft geeft als oplossing (ben het kb nummer even kwijt) om "servercertificaat verifieren" uit te schakelen en inderdaad werkt alles dan.

Ook zijn er clients die gebruik maken van de intel pro wireless set, zodra ik hier juist een certificaat installeer en op geef in de intel pro wireless set kan ik geen verbinding maken met het wireless netwerk.

Dus ook al zou ik het certificaat niet installeren op de computer dan nog kan ik verbinding maken met het wireless netwerk. Is dit normaal? Is dit een enorm security risico ivm met man-in-the-middle attacks?

Graag zou ik wat advies en informatie willen omtrent dit certificaat.

Wireless policy is aangemaakt, ik dwing hier inderdaad niet in af om gebruik te maken van een certificaat.

Probleem is dan dat de computeropstartscripts niet lopen.

Om de vraag wat korter te stellen: wat houdt de optie "servercertificaat verifieren" in.

Wat is het risico als ik deze optie uit gevinkt laat.

Nee is me niet precies helemaal duidelijk wat dit inhoud.

En waarom een computer zich niet wil authenticeren als dit staat aangevinkt maar een user wel.

Kan het zijn dat wanneer ik een Ca inricht dit probleem zich ook oplost?

Het zijn trouwens XP clients.

[ Voor 6% gewijzigd door joekoe op 17-03-2009 20:26 ]

Het netwerk bestaat uit windows 2003 servers, verder zijn er verschillende xp clients sp2, sp3 binnen en buiten het domein.

Ik ga is proberen een Ca op te zetten en kijken of dat wat beter loopt.

Probleem toch opgelost met het self signed certificate.

Waarschijnlijk stond het certificaat niet in de goede containers geinstalleerd en daarom kreeg ik een foutmelding dat het computer account niet geverifierd werd. Nu werkt het prima, het certificaat wordt verspreid via een policy eveneens de wireless settings die nu wel het certificaat verifieerd.

Nu nog uitzoeken waarom laptops buiten het domein met de intel pro wireless set niet samen willen werken met het certificaat.

Ik heb 2 policy's aangemaakt

1 voor het aanmelden van de domain computers op de ias server en 1 voor de users.

Dit werkt goed, je ziet netjes in de eventviewer dat eerst de computer wordt geauthenticeert op basis van de computer remote policy en daarna de user.

Op deze manier is het ook mogelijk om dus computeropstartscripts te laten lopen, alleen hier moet ik nog wat spelen met de GPO's voor dial up delay en "Allow prosessing across a slow network connection" e.d.

Er is dus geen speciale software nodig om de computer te authenticeren.

[ Voor 7% gewijzigd door joekoe op 18-03-2009 12:47 ]

Het is trouwens ook gelukt met intel pro wireless software op de notebooks buiten het domein.
Nieuwere versie geinstalleerd , certificaat geinstalleerd en dan het gehele server adres opgeven als certificaat heeft geholpen.

Heb nu nog 1 probleem en dat is dat software installaties (msi's ) niet over het wireless netwerk willen installeren.

Het lijkt erop dat de wireless verbinding te laat tot stand komt. Nu vond ik dit artikel
http://support.microsoft.com/kb/840669/en-us en inderdaad als ik handmatig een reg key invoer met een timeout van bijjv 60 dan wordt de software installatie toegepast.

Is hier nog een elegantere oplossing voor? Is dit in SP3 opgelost?