Wenn man einen RADIUS-Server mittels Network Policy Server (NPS) bereit­stellt, dann wird häufig ein zweiter Server eingesetzt, um Ausfall­sicherheit zu gewähr­leisten. Aller­dings gibt es von Haus aus keine Möglich­keit, um die Konfi­guration der NPS-Server zu synchro­nisieren. Das Problem lässt sich mit Power­Shell lösen.

In diesem Text erkläre ich, wie man RADIUS-Clients via GUI oder Power­Shell zu NPS hin­zu­fügt. Die Authen­tifi­zierung, Autori­sierung und Zugriffs­rechte lassen sich dann über Connec­tion Request Policies und Network Policies regeln. Schließ­lich nutze ich ein Vendor-Attribut, um Admin-Rechte auf einem Switch zu ver­geben.

Der Network Policy Server (NPS) über­nimmt die Authen­tifi­zierung, Autori­sierung sowie das Accounting (AAA) für Radius-Clients (Access Server). Das können WLAN-APs, Switches, DFÜ-Remote­zugriffe und VPN-Server sein. Diese Anleitung zeigt, wie man NPS installiert, mit dem AD verbindet und Accounting aktiviert.

Im ersten Quartal 2018 ver­öffent­lichte Micro­soft einen Patch für den Credential Security Support Provider (CredSSP). Seit­dem kann es beim Aufbau einer RDP-Ver­bindung zu einem Authen­tifizierungs­fehler kommen. Abhilfe schafft neben dem Ein­spielen des Patches die CredSSP-Konfigu­ration via GPO.

Anwender sind aus dem Web ge­wohnt, dass sie ein neues Kenn­wort ver­geben können, wenn sie das alte ver­gessen haben. ADSelfService Plus bringt solchen Kom­fort in die Unter­nehmen und erlaubt Mitarbeitern zudem, ihre per­sön­lichen Infos im AD zu ändern. Neue AD-Passwörter synchronisiert das Tool mit anderen Systemen.

Ein Vor­teil von PowerShell-Remoting via SSH be­steht darin, dass man anders als bei WinRM dafür eine Public-Key-Authenti­fizierung nutzen kann. Das verein­facht die Fern­wartung von Rechnern, die nicht Mit­glied in einer AD-Domäne sind, und er­höht die Sicher­heit. Diese An­leitung zeigt, wie man dabei vorgeht.

Exchange wird aus Sicherheits­gründen meist hinter der Fire­wall betrieben. Benutzer von außen mit Smart­phones darauf zu­greifen zu lassen, stellt ein Sicherheits­risiko dar oder wird erst gar nicht zuge­lassen. Für dieses Sze­nario bietet AppTec, der Schweizer Anbieter einer EMM-Software, eine fertige Sicherheits­lösung an.

Microsoft veröffent­lichte die viertel­jährlichen Updates für Exchange 2010 (CU19) und 2016 (CU8). Sie bringen mit der Unter­stützung für die Hybrid Modern Authen­tication ein neues Feature und ändern das künftige Installations­verhalten. Erschienen ist zudem ein sicher­heits­kritisches Rollup für Exchange 2010.

Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

Benutzer sind von Online-Diensten gewohnt, dass sie ver­gessene Kenn­wörter ein­fach zu­rück­setzen können. ADSelfService Plus sorgt für eine ähn­liche Er­fahrung in der Firmen-IT und bietet zudem Funk­tionen, mit denen Benutzer AD-Attribute selbst ändern und mit denen Admins die Sicher­heit erhöhen können.