locked
Roaming Profile - Aiuto/Consigli RRS feed

  • Domanda

  • Buongiorno a tutti, spero mi possiate aiutare.
    Sto preparando un'ambiente di test, i cui ho tre elementi fondamentali
    DC (2008), NAS dove risiedono i profili utente e i client windows 7 32bit
    Tutti gli utenti hanno abilitato il "roaming profile" ma arriviamo al problema....
    Io accendo fisicamente il client che riceve un IP di una rete vlan ""temporanea"" dove è possibile parlare solo con il DC e non con il NAS.
    Chiaramente entro con un profilo temporaneo, dopodichè un tool che ho installato verifica delle condizioni e se queste sono ok, il client riceve un nuovo IP sulla vlan di produzione dove parla con il NAS.
    E' possibile secondo voi entrare con una sorta di profilo temporaneo e caricare il roaming profile quando il client riceve l'IP della vlan di produzione???



    venerdì 6 marzo 2015 10:35

Risposte

  • Il punto debole della tua soluzione, come ha detto anche Alessandro, è il fatto di avere il DC stesso nella VLAN "temporanea" (quindi costantemente esposto a possibili client non conformi). Questo è dovuto al fatto che il controllo della conformità del client richiede l'avvio di un tool mediante un profilo temporaneo. Anche volendo lasciare questa configurazione avresti comunque molti problemi ad integrare questo meccanismo con quello di Active Directory e dei profili roaming. Quindi dovresti vedere se questo strumento NAC che stai usando prevede dei sistemi alternativi magari basati su servizio in modo da poter inserire anche il DC nella VLAN di produzione ed eseguire una configurazione classica di profili roaming.

    In ogni caso, come avevo consigliato precedentemente, a mio parere la soluzione più semplice rimane quella di installare un server periferico con NPS che esegue una convalida dei client senza la necessità di eseguire tool di terze parti. Mediante un IEEE 802.1X enforcement puoi comandare anche switch ed access point compatibili per eseguire la stessa separazione di VLAN, con il vantaggio però di avere i client conformi già in rete dopo l'avvio senza ulteriori complicazioni. Poi se in rete hai dispositivi non compatibili con NPS è un altro discorso, ma dovresti comunque rivedere il funzionamento del tuo sistema NAC.



    venerdì 6 marzo 2015 17:01
    Moderatore

Tutte le risposte

  • Per quale motivo dovresti fare una cosa del genere? Se stai utilizzando questo meccanismo di VLAN per la sicurezza secondo me dovresti cambiare strada (la protezione è molto debole e aumenti notevolmente la complessità e l'affidabilità di tutta la rete).

    Ti consiglio di valutare "Protezione accesso alla rete" di Windows Server: https://technet.microsoft.com/it-it/library/cc754378.aspx

    Se invece il meccanismo con le VLAN è necessario per qualche scenario particolare possiamo vedere se si può fare qualcosa, ma in ogni caso non sarà comunque un sistema che si possa ritenere affidabile.

    venerdì 6 marzo 2015 10:48
    Moderatore
  • Ciao grazie per la celere risposta.

    Lo scenario corretto è il secondo da te descritto

    "Se invece il meccanismo con le VLAN è necessario per qualche scenario particolare possiamo vedere se si può fare qualcosa, ma in ogni caso non sarà comunque un sistema che si possa ritenere affidabile."

    venerdì 6 marzo 2015 11:09
  • Mi accodo alla domanda di Fabrizio, che senso ha avere i profili su un nas su una subnet diversa se poi il DC sta sulla stessa subnet di lavoro? Non esiste nessuna ragione reale e non è nemmeno una implementazione di sicurezza è solo un misconfiguration delle impostazioni di rete...tanto che conta in questi casi è il DC non il profilo quindi tantovale se proprio caricare i profili di roaming direttamente dal DC...o no?

    A.

    venerdì 6 marzo 2015 14:09
    Moderatore
  • Lato network abbiamo uno strumento NAC, che insieme al protocollo .1x, permettiamo una autenticazione del client e utente sulla vlan temporanea, qui con il NAC controlliamo che il client sia conforme (abbia tutti gli aggiornamenti WSUS aggiornamenti AV) se conforme viene rilasciato al client l'IP della vlan di produzione.
    venerdì 6 marzo 2015 14:53
  • Il punto debole della tua soluzione, come ha detto anche Alessandro, è il fatto di avere il DC stesso nella VLAN "temporanea" (quindi costantemente esposto a possibili client non conformi). Questo è dovuto al fatto che il controllo della conformità del client richiede l'avvio di un tool mediante un profilo temporaneo. Anche volendo lasciare questa configurazione avresti comunque molti problemi ad integrare questo meccanismo con quello di Active Directory e dei profili roaming. Quindi dovresti vedere se questo strumento NAC che stai usando prevede dei sistemi alternativi magari basati su servizio in modo da poter inserire anche il DC nella VLAN di produzione ed eseguire una configurazione classica di profili roaming.

    In ogni caso, come avevo consigliato precedentemente, a mio parere la soluzione più semplice rimane quella di installare un server periferico con NPS che esegue una convalida dei client senza la necessità di eseguire tool di terze parti. Mediante un IEEE 802.1X enforcement puoi comandare anche switch ed access point compatibili per eseguire la stessa separazione di VLAN, con il vantaggio però di avere i client conformi già in rete dopo l'avvio senza ulteriori complicazioni. Poi se in rete hai dispositivi non compatibili con NPS è un altro discorso, ma dovresti comunque rivedere il funzionamento del tuo sistema NAC.



    venerdì 6 marzo 2015 17:01
    Moderatore
  • Buongiorno a tutti,

    scusate se non vi o più risposto, ma il lavoro ha priorità :-).

    Alla fine si è deciso di eliminare i "Roaming Profile" con i "Local Profie".

    Ora c'è il problema di backuppare i dati utente, ma su quello ho già delle idee.

    Ringrazio tutti.

    martedì 24 marzo 2015 07:43