Вопросы Теги

Выполненный 'certutil-DCInfo' на другом целевом домене

Jack,

Вот мое усилие ответить на Ваш вопрос всесторонне. Просто сообщите мне, нужно ли Вам что-либо еще.

Каналы:

  1. Большая часть предприятия контроллеры WLAN ожидает, что Вы настроите точки доступа, чтобы использовать три неперекрывающихся канала на 2,4 ГГц (1, 6, и 11), организованный оптимально для покрытия и управлять помехами от соседних каналов. Если Вы используете ненаправленные симметричные антенны, тянете сетку шестиугольников, каждый отмеченный с 1, 6, или 11. Затем разметьте его так, чтобы ни одна из Ваших мозаик не была смежна с мозаикой с подобным номером. Вы найдете это ссылочное существенное освещение CWNA, но в основном, оно похоже на это:

    Микроканальная архитектура WiFi http://mileserickson.com/misc/WiFiMCA.png

  2. Некоторыми предприятие, которое контроллеры WLAN предлагают Одноканальной Архитектуре, где весь APS симулирует быть единой точкой доступа на том же канале и доменом коллизий, управляют централизованно. Однако это редко. Я полагаю, что только два поставщика, Meru и Extricom, поддерживают это. На любом другом контроллере WLAN, устанавливая весь APS на тот же канал вызвал бы чрезмерные коллизии и мог привести к главным проблемам производительности.

  3. Я думаю, что Вы правы подозревать, что Ваша сеть HP ProCurve была настроена неправильно, если все точки доступа находятся на том же канале.

  4. Однако даже после фиксации его CompanyMain и CompanyGuest все еще разоблачат на том же канале в каждом физическом AP "ячейку", потому что они - виртуальный APS, которые существуют на каждом физическом APS. Каждое физическое AP передает только на одном канале за один раз, но может иметь больше чем один SSID в том канале. Это не проблема. Ключ - то, что каждый Ваш физический APS будет трансскучать по обоим SSIDs вместе на канале, который Вы выбрали для устранения помех от соседних каналов из смежного физического APS.

Относительно "неизвестного SSID":

  1. Это, конечно, мог быть соседний офис WLAN с его скрытым SSID, но мощность сигнала ужасно высока, и это находится на Вашем канале. Обычно, в офисном обзоре сайта среды, "край" ячейки покрытия AP был бы приблизительно-60 к-65 dBm.

  2. Это также мог быть жулик или злонамеренное устройство. Следует иметь в виду, что с точки зрения злоумышленника, WEP не отличается от открытой сети. Любой, кто хочет, может осуществить сниффинг всего трафика, который они хотят от CompanyMain. Конечно, они могут сделать это пассивно, не выставляя точку доступа для Вас для нахождения.

  3. Это могло быть другое виртуальное AP на Вашем предприятии WLAN, но со скрытым SSID, хотя этот сценарий кажется странным для меня, потому что мощность сигнала более слаба, чем CompanyMain и CompanyGuest. Вы проверили конфигурацию своего контроллера WLAN для наблюдения, какие SSIDs настроены там? Действительно ли CompanyMain и CompanyGuest являются единственным SSIDs?

  4. Мне также было бы очень любопытно определить физическое местоположение неизвестного устройства. Вы можете быть удивлены тем, как быстро можно найти что-то только путем проигрывания более теплый/более холодный с мощностью сигнала. В-40 dBm это не может быть чрезвычайно далеко. Вы могли бы найти жулик маршрутизатором Linksys под чьим-то столом в быстром порядке. С другой стороны, если мощность сигнала увеличивается, когда Вы становитесь ближе к каждой из Ваших корпоративных точек доступа, затем это - виртуальное AP на Вашем контроллере.

WEP на CompanyMain является настоящей проблемой:

  1. Сегодня, WEP == никакая безопасность вообще.

  2. Если Ваша компания не совершенно довольна наличием находящихся в открытом доступе точек в его корпоративной сети, CompanyMain должен быть обновлен до Корпоративной безопасности WPA2, проходящей проверку подлинности против серверов Вашей компании AD/LDAP через RADIUS. Необходимо смочь настроить отдельную виртуальную точку доступа на контроллере WLAN для тестирования, поскольку Вы работаете посредством подъема набора процесса аутентификации.

  3. Были ли ноутбуки WEP прежней версии, которые были с тех пор ликвидированы, позволив Вам возобновить переход к WPA2 Enterprise?

  4. Если компания специализировала устройства (как беспроводные телефоны VoWiFi), которые все еще используют WEP, они должны быть на их собственном виртуальном AP/SSID/VLAN вместо того, чтобы открыть крупную дыру в системе безопасности в Вашей корпоративной сети.

Разное:

  1. CWNA и CWSP являются очень полезными сертификациями, если Вы собираетесь быть администрированием предприятия WLAN. Большая часть того, что я должен предложить здесь, прибывает из них, и я рекомендую им высоко.

  2. Я вовлечен в администрирование только одного предприятия WLAN, и это уже было на месте, когда я обнаружился. Могут быть другие с более прямым опытом, например, как подрядчики специалиста, которые могут давать лучший совет.

  3. Не забывайте простые вещи также, например, телефоны на 2,4 ГГц и кухни с микроволновыми печами.

  4. Когда люди настраивают корпоративный WLANs неправильно, одна частая ошибка состоит в том, чтобы установить мощность передачи слишком высоко на APS. Если Ваши точки доступа используют более высокие параметры питания, чем Ваши мобильные терминалы, это несоответствие может вызвать чрезмерные повторные передачи уровня 2: AP передает кадр к станции при мощной установке, станция принимает кадр и отправляет ACK в более низкой установке мощности, AP не слышит его, и таким образом, AP передает кадр снова и так далее.

2
задан 3 November 2011 в 16:06
3 ответа

certutil работает в контексте пользователя, из которого он вызывается.

Кажется маловероятным, что вы сможете достичь желаемого без учетной записи в каждом домене, если только вы не придумаете способ выдать себя за других пользователей, что, вероятно, потребует вызова Win32 API. Вот '

0
ответ дан 3 December 2019 в 15:54

  1. Что произойдет, если вы используете psexec для выполнения команды certutil.exe на контроллере домена, принадлежащем каждому домену, на который вы хотите настроить таргетинг, используя свою доверенную учетную запись администратора домена из другого домена в лесу?

  2. В качестве альтернативы, можете ли вы использовать свои права администратора домена для создания учетной записи svc_certchk в каждом домене?

0
ответ дан 3 December 2019 в 15:54

После того, как я столкнулся с той же проблемой, я смог получить необходимую мне информацию через Powershell благодаря чьей-то записи в блоге.

Кредит : (исходная ссылка, если она все еще в сети, когда вы читаете это)

http://blogs.technet.com/b/heyscriptingguy/archive/2011/02/16/use-powershell-and-net-to-find-expired -certificates.aspx

Код: 

$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("\\dc1\My","LocalMachine")
$store.Open("ReadOnly")
$store.Certificates

Затем вы можете проанализировать полученные объекты сертификата. Могут возникнуть некоторые проблемы с доступом, которые нужно решить, но все это отлично работало для меня в моей среде с использованием учетной записи администратора предприятия на серверах 2003 и 2008 годов.

0
ответ дан 3 December 2019 в 15:54

Теги

Похожие вопросы