Kezdőoldal > Windows Server > 802.1x hitelesites, XP SP3 es vezetekes halozat eseten

802.1x hitelesites, XP SP3 es vezetekes halozat eseten


Adva van egy halozat, ahol mukodik a 802.1x hitelesites, vezetekes halozaton. A gepek XP SP2 rendszeruek, a hitelesites csak szamitogepre vonatkozoan tortenik. A feladat egyszerunek tunik: szeretnenk frissiteni a gepeket, termeszetesen megorizve a 802.1x hitelesitest.
 
Nos, kezdjuk mindjart az elejevel. Az egyik legnagyobb ujdonsaga az SP3-nak az, hogy kulonvalasztottak a vezetek nelkuli es a vezetekes hitelesitest. Eddig a "Wireless zero configuration", magyarul "Konfiguraciomentes vezetek nelkuli halozat" vegezte mindket hitelesitest – ez egyben azt is jelentette, hogy ha masik szoftverrel hasznaltuk a wifit (pl. Intel sajat programjaval), akkor is kellett fusson ez a szolgaltatas, ha akartunk 802.1x hitelesitett halozatra csatlakozni. Most ezutan ez megmaradt a wifi hitelesitesnek, s letrejott egy uj, "Wired AutoConfig", azaz "Vezetekes halozat automatikus beallitasa" nevu szolgaltatas, ami csak a vezetekes hitelesitest vegzi.
 
Ezzel nem lenne semmi baj – de most jon a csavar. Tekintettel arra, hogy nagyon-nagyon keves helyen hasznalnak vezetekes halozaton 802.1x hitelesitest, telepites utan a szolgaltatas alapertelmezett inditasi allapota "Kezi", tehat csak kezzel tudjuk elinditani. Ez azt jelenti, hogy adott gep addig nem fog tudni hitelesiteni, amig ezt kezzel nem inditjuk el. Egy gepnel nem gond, de nagy halozat eseten mindenhova elmenni, elinditani mar nem gyermekalom. Raadasul az SP3 telepitese utan az elso ujrainditasig nem is jelenik meg a szolgaltatasok kozott…
 
Felmerul a legegyszerubb megoldas: hazirend. Ez meg is felelne, de: telepites elott nem letezik ez a szolgaltatas, tehat nem is lehet szabalyozni, telepites utan viszont addig nem kapja meg a hazirendet, amig el nem inditjuk. A kor bezarult.
 
Semmi baj, van egy kerulo megoldas. Ez ugy nez ki, hogy a szamitogepre vonatkozo hazirendbe beteszunk egy Shutdown script-et, ami registryben atallitja a szolgaltatas inditasi tipusat. Konkretan (XP-rol leven szo, hasznaljuk ki az egysoros parancsot):
 
@REG ADD "HKLMSYSTEMCurrentControlSetServicesDot3svc" /v "Start" /t REG_DWORD /d "00000002" /f
 
Itt azt kell tudni, hogy a szolgaltatasok inditasi tipusai:
1: Rendszer; 2: Automatikus; 3: Kezi; 4: Letiltva
 
Ezutan mar biztosak lehetunk benne, hogy a szolgaltatas Automatikus inditasu, s el kell induljon.
 
Mar-mar azt hittem, hogy befejeztem a feladatot, amikor kiderult, hogy meg egy buktato van. Ugyanis a hitelesites csak a szamitogepek tanusitvanyaival tortenik.
Ez azt jelenti, hogy a HKLMSoftwareMicrosoftEAPOLParametersGeneralGlobal kulcs alatti AuthMode erteke 2. Termeszetesen ezt is lehet szabalyozni hazirendbol, ami ismet csak akkor jarhato ut, ha a gep tud csatlakozni a DC-hez. Az aktualis halozatban termeszetesen ez mar mukodik, tehat ez nem problema.
 
Itt le vannak irva a kulonbozo lehetosegei az AuthMode erteknek. Ennek alapjan, az SP1-SP2-vel rendelkezo XP-k eseten az alapertek 1, ami azt jelenti, hogy a felhasznalo bejelentkezese utan annak adataival probal hitelesiteni – s ha ez nem sikerul 60 mp-n belul, akkor a csatlakozas nem jon letre. Mivel nem felhasznalot, hanem gepet akarunk hitelesiteni, eddig ennek erteket 2-re allitottuk (csak a gep hitelesitsen).
 
A gond az, hogy SP3 eseten ezt is ujrairtak.
 
Itt leirjak azt, hogy mikent lehet SP3 alatt beuzemelni a vezetekes 802.1x hitelesitest, ugy, hogy csak a szamitogep tanusitvanyat keresse. Egy dolgot elfelejtenek megemliteni: ha az adott rendszeren exportalt profilban nincs authMode bejegyzes, akkor azt hova kell tenni. Nos, nem mindegy, hogy a cacheUserData ele vagy utan, ugyanis ha eleje tesszuk, akkor "A halozati kapcsolat profilja serult" hibauzenetet kapjuk importalaskor. Ugyanakkor szamit a kis/nagybetu is.
 
Igen am, de mindezt elvegezni minden gepen? Export, majd import? Nos, az kisse meredek lenne. Megprobalok talalni egy megoldast, s azt fogom boncolgatni…
Advertisements
Kategóriák:Windows Server
  1. Még nincs hozzászólás.
  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: