none
802.1x NAP a provádění group policy

    Dotaz

  • Zdravím,

    mám tu servery 2008 R2 SP1, na kterých mi běží 802.1x NAP. Na těchto serverech funguje všechno v pořádku. Jsou zde 3 VLAN:

    VLAN1 = výchozí VLAN, je na ní jenom DHCP server a port 80 směřující ven
    VLAN2 = karanténa - zde je jiný DHCP server, ven jsou povolené jenom adresy pro aktualizaci Windows a antiviru
    VLAN3= naše interní síť - zde je povoleno všechno, toto je také jediná VLAN, kde jsou dostupné všechny naše servery (PDC, NAP atd).

    Problém je ale na klientském PC (WinXPpro). Když ho spustím, tak je nejdřívě ve VLAN1, tam se ale už snaží dostat na PDC -> ohlásí chybu 1054 a odmítne provést group policy. Po dvaceti vteřinách se teprve nastartují relevantní služby NAP agentu, a přihlásí PC do sítě (VLAN 3). Když se potom k PC přihlásí uživatel, tak se mu už provedou group policy, ale jenom ty uživatelské, počítačové GP zůstanou neaplikované. Jak tedy můžu přimět počítač, aby nehledal PDC v síti, ve které zatím není? Říkám si, že to musí řešit každý, kdo používá 802.1x NAP, ale na internetu jsem nic nenašel. Nějaká rada?

    Děkuji, JŠ

    PS: pokud na switchi vypnu 802.1x, tak je všechno v pořádku.

    čtvrtek 31. března 2011 13:44

Odpovědi

  • a) to přece nevadí, že se naprovedou počítačové GPO. ony se provedou znovu automaticky po výchozích 90+-30 minut. mohl byste to maximálně zkrátit.

    b) GPO politiky se stejně provádí jenom jednou v okamžiku, kdy je ta stanice vidí poprvé. jakmile je jednou zavede, tak se to už znovu nevykonvává. takže ano, pokud tam strčíte nový počítač, tak si lízne GPO až po těch 90 minutách. Potom se sice bude dál snažit kontaktovat DC pravidelně, aby se podíval, jestli nejsou nějaké změny, ale stejně nic už později stahovat nebude.

    takže ten úvodní výpadek vám způsobí jen to, že se ty politiky zavedou až trošku později.

    ondra.

     

    • Označen jako odpověď Jiri Simek pátek 1. dubna 2011 13:26
    pátek 1. dubna 2011 11:25
  • tak to bych to víc neřešil. prostě přechodné errory.

    ondra.

     

    • Označen jako odpověď Jiri Simek pátek 1. dubna 2011 13:26
    pátek 1. dubna 2011 13:13

Všechny reakce

  • a) to přece nevadí, že se naprovedou počítačové GPO. ony se provedou znovu automaticky po výchozích 90+-30 minut. mohl byste to maximálně zkrátit.

    b) GPO politiky se stejně provádí jenom jednou v okamžiku, kdy je ta stanice vidí poprvé. jakmile je jednou zavede, tak se to už znovu nevykonvává. takže ano, pokud tam strčíte nový počítač, tak si lízne GPO až po těch 90 minutách. Potom se sice bude dál snažit kontaktovat DC pravidelně, aby se podíval, jestli nejsou nějaké změny, ale stejně nic už později stahovat nebude.

    takže ten úvodní výpadek vám způsobí jen to, že se ty politiky zavedou až trošku později.

    ondra.

     

    • Označen jako odpověď Jiri Simek pátek 1. dubna 2011 13:26
    pátek 1. dubna 2011 11:25
  • Aha, tak to jsem žil v omylu. Myslel jsem, že 90 +- 30 minut platí jenom pro synchronizaci mezi doménovými řadiči. Pravda, zatím jsem to ještě nezkoušel, děkuji za Vaši odpověď. Trošičku mě vyděsila ta hromada chybových hlášek na PC v NAPové síti v době nabíhání systému :) Jen tak na zkoušku jem povolil na firewallu komunikaci z výchozí sítě (vlan1) na PDC, a desktop byl potom spokojený. Takže další věc z kategorie "It is safe to ignore this error message" ?


    pátek 1. dubna 2011 12:22
  • ano, errory při restartech je možno mnohdy ignorovat.

    nicméně si já myslím, že to je alespoň trošku divné. pokud jste v té VLAN1 a VLAN2 (tedy v těch BEZ přístupu na DC), tak tam máte nějaké DNS? je ta stanice z těchto VLAN schopná přeložit toto?

    NSLOOKUP

    SET Q=SRV

    _ldap._tcp.dc._msdcs.<VASE-VLASTNI-DOMENA.local>

    (nahradte to v tech vetsitkach svou domenou, nemusi to byt samozrejme .local)

    ondra.


    ... a prijdte na GOPAS TechEd 2011

    pátek 1. dubna 2011 12:48
  • Tyto sítě jsou oddělené a mají vlastní DNS, která je jenom externí. V interní síti máme oddělený DNS prostor + PDC.
    pátek 1. dubna 2011 13:10
  • tak to bych to víc neřešil. prostě přechodné errory.

    ondra.

     

    • Označen jako odpověď Jiri Simek pátek 1. dubna 2011 13:26
    pátek 1. dubna 2011 13:13
  • OK, děkuji Vám.

    pátek 1. dubna 2011 13:26