Připojení k doméně, přihlášení k doméně, jménem uživatele - bezdrátově

[JohnyCage]

Ahoj, provozuji server, který umožňuje připojení, přihlášení do domény. Do unifi switchů je také připojeno několik přístupových bodů unifi "AP", nabízejících wi-fi připojení. Jestliže mám připojené počítače do switche kabelem..to je fyzicky na koncovku rj45 - vše funguje dobře. Počítač se připojí do domény, může přistupovat na pevný disk serveru a další služby. Problém je, když se chci do domény připojit/přihlásit z notebooku - to znamená bezdrátově = nedojde k připojení. Připojím se z notebooku k internetu serveru, bezdrátově - ale to je vše. Vyzkoušel jsem mnoho návodů na internetu ale výsledek rovný nule. Jaká je nejsnadnější cesta, jak se z bezdrátového připojení k internetu, které server nabízí připojím také k doméně serveru? Takže ještě konkrétněji. Potřebuji se prostě připojit k doméně klasickým přihlašováním ve Windows = jméno uživatele + heslo a jsem tam přihlášen...Neřeším teď nějaké super bezpečné řešení, prostě se musím do domény přihlásit, jako uživatel také bezdrátově....

[petr22]

Nejjednodussi je sehnat nekoho, kdo vi co ma delat a nastavi to spravne.

Ta wifi musi byt v takovem IP rozsahu, ktery je routovan na radic domeny a idealne by tam
mel byt nejaky overovaci server pro klienty (treba Radius) aby tam nemohlo vlezt cokoliv.

[JohnyCage]

Nejjednodussi je sehnat nekoho, kdo vi co ma delat a nastavi to spravne.

Ta wifi musi byt v takovem IP rozsahu, ktery je routovan na radic domeny a idealne by tam
mel byt nejaky overovaci server pro klienty (treba Radius) aby tam nemohlo vlezt cokoliv.

Nikoho takového na sehnání nemám, který by měl větší znalosti než já a mohl poradit. Až najdu řešení, poskytnu ho klientům, nenajdu, pojede to prostě v podobě, jako doposud. Možná den, týden, rok.. Chtěl jsem nabídnout uživatelům více, když ne tak ne.

Rozsah IP je nastaven - o Radius se právě snažím ale doposud bez kýženého výsledku.

[Microsheep]

Mícháš dvě věci nebo jsem pořádně nepochopil čeho chceš docílit.

1) Chceš WPA Enterprise, které ověřuje RADIUSem a vyčítá z LDAPu/doménového kontrolleru uživatele.
WPA Enterprise je fajn, ale není potřeba, aby jsi mohl počítač přidat do domény bezdrátově, je to jen další vrstva zabezpečení, takže pro teď RADIUS nemusíš řešit, pokud nejsi schopný ani přidat počítač do domény z bezdrátu např.

nebo

2) Chceš se připojit na wifi a potom se ověřit vůči doménovému kontroleru pro určité služby?
Jak říká kolega, musíš se doroutovat na daný server a cestou tě nesmí filtrovat žádný firewall (ať už fw jako takový nebo guest síť na APčku). Dále pro korektní fungování by si měl mít správně nastavené DNS servery nejlépe přímo domain controller nebo nějaké, které fowardují tvojí doménu.

Až pochopím co z toho potřebuješ, můžeme se podívat dál.
Radius na Windows Serveru je otázka chvilky nastavení.

[JohnyCage]

Microsheep: Prostě se chci bez kabelu zapojeného do klientského PC přihlásit do domény, skrze wifi. Datový kabel, díky kterému aktuálně funguje vše na jedničku, zahodím na moment do koše, nebude připojený k PC, zapnu klientské pc - pouze možná konektivita skrze wi-fi, kabel je v koši. Přesto spustím Windows, vybafne na mě, zadej jméno a heslo do domény. Zadám jméno a heslo a Windows mě přihlásí do domény se vším, co doména nabízí za služby. Jak to provést?

Aktuálně je to tak, že když je kabel v koši...před přihlášením k doméně se automaticky připojím k unifi wifi...když ale chci zadat jméno heslo pro přihlášení do Windows a současně k doméně, tak mi to napíše že se přihlášení nezdařilo.. Neexistuje nějaký program, který je schopen pořídit nějaký komplexní, přesto relativně bezpečný log, který je možné prezentovat a na základě něj, poradit více?

[Microsheep]

Takže chceš č. 2)
Přečti ti, co jsem napsal k bodu a vše co v tom bodu je zkontroluj a potvrď, že to tak nastavené máš.
Trošku mě pak zaráží.. provozuju server..
Do CMD
ipconfig -all (když si připojený na wifi ze stanice)
ping tvojedomena.tld
tracert tvojedomena.tld
set | findstr "LOGONSERVER"

[JohnyCage]

Takže chceš č. 2)
Přečti ti, co jsem napsal k bodu a vše co v tom bodu je zkontroluj a potvrď, že to tak nastavené máš.
Trošku mě pak zaráží.. provozuju server..
Do CMD
ipconfig -all (když si připojený na wifi ze stanice)
ping tvojedomena.tld
tracert tvojedomena.tld
set | findstr "LOGONSERVER"

Firewallem to nebude. Mám to nastaveno. Zkoušel jsem fw i vypnout ale nic se nezměnilo. Mám se přihlásit do domény a vložit nějaký log? Nebo něco přímo ve Win Serveru?

[petr22]

Kdyz se prihlasis na tom notebooku bud offline nebo na kabelu do domeny, pak
odpojis kabel, pripojis se na wifi - mas dostupny radic domeny ?

Funguje ping na domain controller ?

Nic jineho to nepotrebuje nez aby pri prihlaseni na wifi byl dostupny DC.

[JohnyCage]

Kdyz se prihlasis na tom notebooku bud offline nebo na kabelu do domeny, pak
odpojis kabel, pripojis se na wifi - mas dostupny radic domeny ?

Funguje ping na domain controller ?

Nic jineho to nepotrebuje nez aby pri prihlaseni na wifi byl dostupny DC.

Jakmile odpojím kabel, radic je nedostupny. Mohu využívat pouze internet, nic víc... Problém nebude pravděpodobně složitý, bude to nějaká maličkost.

[Microsheep]

Složitý to bude, když nám k tomu nic neřekneš, tajemný jak hrad v karpatech.

[petr22]

Vzdyt to rikam - chybne nakonfigurovana sit.

Kdyz se pripojis na wifi, nejsi ve stejne siti jako je domena, je potreba dalsi VLAN a dalsi WLAN,
protoze ten free internet a wifi od domeny od sebe MUSI byt oddelene.

Toto nelze delat takto punkovym zpusobem - jestli je to firemni sit, musi to konfigurovat nekdo,
kdo tomu aspon trochu rozumi a ruci za to - takhle vam tam pobezi treba servery na distribuci detskeho
porna a zjistis to az tam vleti Policie.

Nastavit VLAN/WLAN a routovani IP rozsahu je zaklad prace spravce site. Nema smysl delat z free wifi
pripojeni do domeny - na to je nutne zalozit separatni sit se vsim vsudy, vlastni IP rozsah, vlastni autentifikace
klientu.

Budto se klient pripoji na free wifi, NEBO do domeny, NELZE kombinovat v jednom pripojeni.

[JohnyCage]

Tohle je těžko, tady je těch možných nastavení miliarda. Pokud není možné vygenerovat nějaký smysluplný a publikovatelný log aktuálního nastavení. Wifi není veřejná, unifi AP jdou kabelem do switche našeho serveru a samotné přihlášení k wifi internetu má heslo. Dosah wifi nejde za bránu budovy. Aktuálně nikdo jiný správu provádět nemůže. Asi to nechám plavat, protože mě už nenapadají varianty, které bych mohl vyzkoušet, uvidím.