Microsoft Eneta

Hei,

Kas keegi oskaks kommenteerida järgnevat situatsiooni:
Katsetan siin IAS+AccessPoint+Sertifikaadid+Windows7 masinapõhine autentimine.
Ühesõnaga on eesmärk turvaline WiFi nii, et masin autendiks ennast võrku.
Kõik on peaaegu kena, cerdid ja muu kama töötaks nagu peab. Aga üks asi millest ma läbi ei näri on kõikidel Win7 masinatel karjatus, et NETLOGON teenus ei leia DC'd. Loetud sekundid peale seda teadet ta juba leiab DC ja kõik laabub. Mulle jääb mulje nagu võrk ei oleks piisavalt kiiresti initsialiseeritud.
NETLOGON'i teade DC mitteleidmise kohta tuleb varem kui IAS'i teade masina autentimise kohta IAS servus.

Samas ei tea ma ilmselt mingit loogikat kuidas see asi käima peaks. Kas masin saab kasutada endale antud cert'i autentimiseks ilma, et NETLOGON teenus töötaks (pole jõudnud veel käivituda).?
Järsku siin on mingi vastuolu mida ma ei tea.. nt. et ilma NETLOGON'i töötamiseta ei saa masin certi kasutada ja ma peangi leppima selle erroriga? Või järsku ma keeran serdipõhise autentimisega wifi võrgus turvalisusega vinti üle?

Igasugused kommentaarid on teretulnud :)

Katsetan siin IAS+AccessPoint+Sertifikaadid+Windows7 masinapõhine autentimine.
Ühesõnaga on eesmärk turvaline WiFi nii, et masin autendiks ennast võrku.
Kõik on peaaegu kena, cerdid ja muu kama töötaks nagu peab. Aga üks asi millest ma läbi ei näri on kõikidel Win7 masinatel karjatus, et NETLOGON teenus ei leia DC'd. Loetud sekundid peale seda teadet ta juba leiab DC ja kõik laabub.

Loogiline.  DC-d saab näha alles pärast seda, kui Wifi ühendus püsti on.  Serdiga autentimiseks pole DC-d kliendi poolt vaja (autentimine töötab ka masinate jaoks, mis ei kuulu domeeni).

Samas toimib turvaliselt ka Protected EAP (MS-CHAP v2), mis autendib masina puhul masinakonto nime ja parooliga.  Kuna masin vahetab parooli (vaikimisi) iga 30 päeva tagant ning masinal pole keerulise ja pika parooli meeldejätmisega probleeme, siis on turvalisus suht sama, kui serdi puhul.  Ainult et masin peab domeeni kuuluma.

janx kirjutas:

Katsetan siin IAS+AccessPoint+Sertifikaadid+Windows7 masinapõhine autentimine.
Ühesõnaga on eesmärk turvaline WiFi nii, et masin autendiks ennast võrku.
Kõik on peaaegu kena, cerdid ja muu kama töötaks nagu peab. Aga üks asi millest ma läbi ei näri on kõikidel Win7 masinatel karjatus, et NETLOGON teenus ei leia DC'd. Loetud sekundid peale seda teadet ta juba leiab DC ja kõik laabub.

Loogiline.  DC-d saab näha alles pärast seda, kui Wifi ühendus püsti on.  Serdiga autentimiseks pole DC-d kliendi poolt vaja (autentimine töötab ka masinate jaoks, mis ei kuulu domeeni).

Samas toimib turvaliselt ka Protected EAP (MS-CHAP v2), mis autendib masina puhul masinakonto nime ja parooliga.  Kuna masin vahetab parooli (vaikimisi) iga 30 päeva tagant ning masinal pole keerulise ja pika parooli meeldejätmisega probleeme, siis on turvalisus suht sama, kui serdi puhul.  Ainult et masin peab domeeni kuuluma.

Ahha.. a mis saab siis kui masin ei ole 30+ päeva käinud ja lendab siis wifi'sse sisse?

Meelis kirjutas:

Samas toimib turvaliselt ka Protected EAP (MS-CHAP v2), mis autendib masina puhul masinakonto nime ja parooliga.  Kuna masin vahetab parooli (vaikimisi) iga 30 päeva tagant ning masinal pole keerulise ja pika parooli meeldejätmisega probleeme, siis on turvalisus suht sama, kui serdi puhul.  Ainult et masin peab domeeni kuuluma.

Ahha.. a mis saab siis kui masin ei ole 30+ päeva käinud ja lendab siis wifi'sse sisse?

Siis pole Windows saanud oma konto parooli muuta ja ta kasutab oma kehtivat (vana) parooli.