Toon posts:

802.1x / NAP en Automatisch certificate enrollment

Pagina: 1
Acties:

vrijdag 21 mei 2010 14:36

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 19:43

Johnny E

Dôh !!

Topicstarter
Wellicht dat er hier wat kennis aanwezig is die me een zetje in de juiste richting kan geven.

Ik heb een lab ingericht om 802.1x authenticatie toe te passen in combinatie met NAP.
Dit op XP SP3 clients incm Server 2008 R2 en Cisco 3750 switches.

Het hele authenticatie verhaal en nap werkt perfect, de computers worden gecontroleerd of het domain computers zijn en of ze aan de health policy voldoen (Firewall en AV aan). Als dit het geval is worden ze in het Workstation Vlan geplaatst, als ze niet voldoen in het Restricted Vlan en als het buitenstaanders zijn in het Guests vlan.

Op dit moment gebeurt authenticatie middels EAP-MSChapV2 nu wil ik dit ombouwen naar PEAP-TLS met User authenticatie. Hiervoor is een user certificaat nodig die ik middels Auto Enrollment wil uitdelen.
De CA en GPO zijn hiervoor ingericht en zolang 802.1x authenticatie uitstaat krijgen de clients netjes een Cert. Als ik de 802.1x authenticatie (met EAP-MSChapV2) echter in schakel werkt Auto Enrollment niet meer en krijg ik de melding:

"De automatische certificaatinschrijving voor lokaal systeem kan geen contact krijgen met de Active Directory 0x8007054b. Het opgegeven domein bestaat niet of kan geen contact maken met dit domein.
. De inschrijving wordt niet uitgevoerd."

De gebruikers kunnen netjes op de client inloggen (niet gecached) en de clients hebben volledige connectiviteit en functionaliteit met het netwerk.

Iemand een idee?

Specs!

zaterdag 22 mei 2010 16:33

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Machines zullen ook geauthenticeerd moeten worden, dus je hebt ook een machine certificaat nodig (voor het verwerken van computer policies zoals autoenroll).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 24 mei 2010 17:16

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 19:43

Johnny E

Dôh !!

Topicstarter
De computers hebben al een certificaat en deze worden netjes geauthenticeerd, dat zorgt dus niet voor het probleem.

Meerdere posts op diverse MS fora melden dat het een probleem is dat inharent is aan XP en dat het wel zou werken op Win vista of 7.

Specs!

vrijdag 28 mei 2010 23:30

Acties:
  • vtsalf
  • Registratie: Mei 2010
  • Laatst online: 22-01 15:50

vtsalf

Hoi,

Ik heb even op de foutcode zelf gezocht en de eerste hit was een microsoft link. Het artikel is naar eigen zeggen toepasbaar op XP clients en Windows 2003 en ik weet dat jij 2008 gebruikt, maar het probleem en de oplossing is algemener van aard (DNS resolutie), dus ik wilde dit even posten en eigenlijk ook polsen of je dit al gezien had;

Van Microsoft:

Voor een computer die lid is van een Windows 2000- of hoger Active Directory-domein moet u ervoor zorgen dat het domeinlid netwerkverbinding heeft met ten minste één domeincontroller.

Nadat u hebt vastgesteld dat er een goede IP-verbinding bestaat tussen het lid en de domeincontroller, corrigeert u het DNS-adres in de IP-eigenschappen van het werkstation. Ga hiervoor als volgt te werk:
Start de module Netwerkverbindingen in het Configuratiescherm.
Klik met de rechtermuisknop op LAN-verbinding en klik op Eigenschappen.
Klik op Internet-protocol (TCP/IP) en klik op Eigenschappen.
Typ het juiste DNS-adres in het vak Voorkeurs-DNS-server.
Klik op OK.

Bron: Problems occur when the Autoenrollment feature cannot reach an Active Directory domain controller


Een andere bron die regelmatig naar boven komt met verschillende searches is de volgende;

http://social.technet.mic...64-4120-bca4-f720a5dee759

Ik weet niet of de clients bedraad of wireless connecten, maar is het nalezen waard.

zondag 30 mei 2010 16:22

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 19:43

Johnny E

Dôh !!

Topicstarter
Ondertussen zijn we verder gegaan met het troubleshooten en ben ik er achter waar het probleem door veroorzaakt word.

Het is volgens mij een combi van XP, 802.1x, dynamische vlans en timing.

Scenario is simpel na te bootsen:
- Computer start en tijdens de boot start authenticatie en authorisatie fase, alle clients starten in een TEMP vlan.
- Als authenticatie en authorisatie lukken gaat de pc naar het workstation vlan.
- PC krijgt dan IP.
- User logt in.
- User wordt vervolgens ook geauthoriseerd en de PC wordt weer opnieuw in het workstation vlan geplaatst.
- PC krijgt weer IP en gaat door met de inlog sessie.

Nou wil het zo zijn dat het netwerk nog niet helemaal actief is als de gebruiker al probeert in te loggen.
Zodra de gebruiker dan toch probeert in te loggen kan deze het domein niet direct vinden en wordt de fout melding gelogt. Maar omdat in GPO "wait for network to become ready" aan staat worden het roaming profiel en de scripts wel goed uitgevoerd. De Certificate enrollment fase lijkt echter wat te snel plaats te vinden.

Ik heb op het zelfde netwerk en met dezelfde instellingen getest met Win7, hiermee komt dit gedrag niet meer naar voren.

Voornu heb ik het voorstel gedaan om de gebruikers authorisatie voor het bedrade netwerk icm Win XP uit te schakelen en dit alleen computer authenticatie en authorisatie toe te passen.

Specs!

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq