Innledning
WPA Enterprise - WiFi Protected Access med EAP-TLS bør ikke være noe som bare hører hjemme i enterprisemiljøer. Snarere tvert i mot. Både SMB-kunder og vi som leverandører kan ha like stort behov for sikkerhet og stabil drift som i de større selskapene med tusenvis av maskiner. WPA Enterprise skiller seg fra WPA2 Enterprise i form av krypteringsgrad, hvor WPA2 er sterkest med AES. Likevel regnes WPA Enterprise med TKIP som absolutt god nok sikkerhet for dagens trådløse nettverk. WPA2 Enterprise vil være innebygget som standard i Vista/Longhorn. I mellomtiden bør vi klare oss fint med WPA Enterprise. I det følgende skal vi sette opp et meget sikkert industristandard trådløst nettverk på SBS 2003 R2 – og stole på at serveren gjør jobben i lang tid fremover!
Hardware
Fra jeg startet med trådløse nett i 2002 har jeg aldri sett maken til kvalitetsforskjeller på en type hardware. I likhet med mange av oss har jeg hatt den tildels blandede fornøyelse av å sette opp en god del trådløse nettverk. Min konklusjon er at det nærmest må kunne karakteriseres som et lykketreff dersom man skulle være så heldig å få tak i et rimelig trådløst aksesspunkt som holder hva det lover og er stabilt. Men i og med at produsentene også greier å levere enheter som holder ord må man ikke peke ut noen i negativ retning. Dog er det ikke alltid så enkelt å vite på forhånd om oppgitte egenskaper korresponderer med selve produktet, men sånn blir det vel når man plukker fra nederste hylle.
Etter at Microsoft nå har gjort en fabelaktig god jobb med å legge forholdene til rette for sikre trådløse nettverk, står vi egentlig igjen med en delikat beslutning på valg av hardware. Hvilke trådløse rutere vil fungere? Hvilke aksesspunkt vil fungere? Hvilke trådløse nettverkskort vil fungere?
For løsningen WPA Enterprise bør man ikke ta noen sjanser mht hardware. Den må fullt ut kunne støtte WPA Enterprise og den ekstra robusthet et profesjonelt trådløst nettverk krever. Med mye annen type hardware vil pris være mer relevant enn merke, men når det gjelder trådløst bør kvalitet og kompatibilitet måtte gå foran initielle kostnader. Min erfaring er at valg av kvalitetsprodukter initielt vil kunne sikre en langsiktig kostnadsreduksjon på +/- 50%.
Eksempel for et anlegg med 5 PC’er:
· Lav initiell kostnad (uten kvalitetsprodukter):
o 1 aksesspunkt kr 1500
o Bruk av eksisterende trådløse kort (med driver update) kr 2000
o Minst 15 timer feilsøking (uten garantert resultat) kr 12000
o SUM kr 15500
· Høyere initiell kostnad (med kvalitetsprodukter):
o 1 aksesspunkt kr 3000
o 5 trådløse kort inkl installasjon kr 5000
o SUM kr 8000
Hvilke produsenter kan levere trådløse produkter med profesjonell kvalitet? Mange kan, men noen er bedre enn andre. Her er et forslag og linker til mer informasjon:
· Cisco
· Proxim
· Symbol
I tillegg kan man vurdere profesjonelle produkter fra HP, de kan ha norske eksperter på sine trådløse produkter. Når det gjelder 3com derimot, har i alle fall ikke jeg greid å få snakke med eksperter på trådløst de gangene jeg har hatt behov for dette. Her kan det selvfølgelig ha skjedd forandringer siden sist.
Mer generell informasjon om hardware som passer for WPA Enterpise kan hentes her:
· Wi-Fi Alliance
Det skal også legges til at alle trådløse produkter som produsentene søker om sertifisering for hos Wi-Fi Alliance, må kunne sertifiseres for WPA2 etter januar 2006. Med tanke på senere bruk av AES i stedet for TKIP vil jeg derfor anbefale å anskaffe WPA2-sertifisert hardware også for denne løsningen.
Like viktig som de trådløse aksesspunktene er de trådløse nettverkskortene. Nettverket blir ikke robust og profesjonelt dersom man tar sjanser på den enkelte klient. Jeg foreslår at valg av trådløse nettverkskort blir et resultat som følge av valget av aksesspunktets produsent. Det vil da si at man får produsenten til å anbefale f.eks to typer kort (ett for USB og ett for PCMCIA) som vil være optimale for kvaliteten. Aller best vil det være dersom produsenten kan levere alle komponenter for en slik løsning. Overfor en kunde bør man da kunne forutsette at dersom de eksisterende trådløse kortene ikke fungerer tilfredsstillende, skal man raskt kunne gå inn med produkter som er optimalisert. Kortene må fullt ut kunne støtte WPA Enterprise.
Når det gjelder trådløse rutere er min erfaring at disse pr i dag ikke holder mål for bruk med WPA Enterprise, og jeg vil derfor anbefale rene aksesspunkter i stedet. Trådløse rutere passer best i arbeidsgruppemiljøer og i folks hjem.
Site Survey
Dersom man har gardert seg med profesjonell hardware, står man igjen med den siste utfordringen; det lokale miljøet hos kunden. Hvordan skal man – innenfor rimelighetens grenser – kontrollere miljøet for andre trådløse nett på de ulisensierte 2,4 og 5 GHz båndene? Og hvordan er dekningen for nettopp mitt trådløse nettverk?
Det finnes gode men svært kostbare verktøy på området, men en kostnad på rundt 4000 USD vil være uakseptabel for de fleste av oss.
På den annen side har man NetStumbler som er gratis. Med NetStumbler kan vi skaffe oss oversikt over flere viktige faktorer i det trådløse miljøet ute hos en kunde:
· Visning av både synlige og skjulte nett
· Bedre grafvisning av signalstyrke for det enkelte nett
· Kan integreres med GPS
GPS-integreringen kan bidra til å lokalisere både egne og andres radiosendere innen det aktuelle området. Skaperen, Marius Milner, sier Garmin skal fungere.
Mer informasjon:
· NetStumbler
LAN Survey
Aller sist kan det være nyttig å kjøre en undersøkelse av lokalnettverket for å danne seg et bilde av aktive enheter. Også her er det mulig å bruke gratisverktøy:
· LanGuard: Skaperen GFI har etter alt å dømme ikke lenger støtte for denne versjonen (fra 2001), men verktøyet kan fremdeles lastes ned gratis fra TuCows.
For de av oss som trives bedre med konsoller kan nmap brukes.
· Nmap
Det finnes flere andre gratis portscannere, men spesielt LanGuard gir mye bra visuell informasjon om enheter på nettverket.
WPA Enterprise på SBS 2003 R2
Dersom man nå har robust hardware og miljøet hos kunden ligger til rette for trådløse nettverkstjenester, gjenstår kun konfigurasjoner på SBS 2003 R2 og aksesspunktene.
Målsetningen med løsningen er å bruke:
· EAP-TLS som autentiseringsmetode
· RADIUS som autentiseringsplattform
· TKIP for datakryptering
EAP-TLS står for Extensible Authentication Protocol – Transport Layer Security. Av mange regnet som den eneste sikre autentiseringsmetode for trådløse nettverk i dag. EAP-TLS krever at både klient og server garanterer sin identitet ved bruk av sertifikater, og bruker en PKI (Public Key Infrastructure) for å sikre kommunikasjonen med RADIUS. Selve sertifikatutvekslingen beskyttes av en kryptert TLS-tunell og gjør sesjonen svært resistent mot MiM og dictionary angrep. TLS er på mange måter lik SSL, bare bedre. TLS forhindrer avlytting, tilklussing, og forfalskning.
RADIUS står for Remote Authentication Dial In User Service. RADIUS er en klient/server protokoll som lar RADIUS autentikatorer (her aksesspunkter) kommunisere med en sentral autentiseringsserver for å autentisere og autorisere tilknytning til nettverket. Poenget er å identifisere og godkjenne klienter før de får tilgang til noen som helst tjenester. Autentiseringen er port-basert, hvor RADIUS autentikatoren og klienten etablerer en point-to-point connection. Resultatet av forhandlingene mellom klient og server via autentikatoren avgjør om porten blir satt i en autorisert tilstand. Gjør den det får klienten komme inn på nettverket og motta IP-konfigurasjon og andre typer tjenester den er autorisert for. På SBS 2003 R2 er det Internet Authentication Service (IAS) som kjører RADIUS.
TKIP står for Temporary Key Integrity Protocol. TKIP bruker en krypteringsnøkkel på hver pakke som kommuniseres i hver sesjon, for hver klient. Hver klient har unik kryptering, og med ca 280 trillioner mulige nøkler er koden ekstremt vanskelig å knekke.
(AES står for Advanced Encryption Standard. AES krypterer datatrafikk sterkere enn TKIP. Kommer innebygget på Vista/Longhorn. Sikkerhetsorganisasjonen NSA har godkjent AES-kryptering til Top Secret for amerikanske myndigheter. AES kan brukes på et SBS 2003 R2 WLAN men krever installasjon av Wireless Provisioning Services IE på WinXP SP2 (http://support.microsoft.com/kb/893357) og redigering av trådløs policy på SBS 2003 R2 fra en Windows Vista klient. Konfigurasjon av trådløs policy til å kjøre AES via GPO slik vi gjorde på demo fungerer etter alt å dømme ikke, selv om det kan se slik ut i dialogboksen Network Properties.)
Til sammen utgjør autentisering med EAP-TLS/RADIUS og kryptering med WPA/TKIP - WPA Enterprise.
Konfigurasjon av WPA Enterprise på SBS 2003 R2
Nå setter vi i gang med den noe kirurgiske konfigurasjonen av serveren, hvor vi må være nøye med samspillet mellom moduler og tjenester. Det forutsettes at SBS 2003 R2 er ferdig installert og oppdatert, og at alle nettverkstjenester og AD fungerer tilfredsstillende.
Prosedyre:
· Installasjon og konfigurasjon av Internet Authentication Service (AD-integrert RADIUS)
· Installasjon og konfigurasjon av Certification Authority (AD-integrert CA)
· Opprettelse og konfigurasjon av GPO for trådløst nett
· Opprettelse og konfigurasjon av GPO for tildeling og autorullering av maskinsertifikater (både IAS server og klienter)
· Montering og konfigurasjon av WPA Enterprise kompatible aksesspunkter
· Oppdatering av policy’er
Internet Authentication Service (IAS):
Det første ekstra komponentet vi må installere er IAS. IAS kjører RADIUS autentisering, og vil være plattformen som EAP-TLS skal bruke når klient og server driver gjensidig godkjenning. Vi må også gi IAS tilgang til Active Directory, slik at tjenesten kan lese av objekter i katalogen.
· Gå til Control Panel\Add/Remove Programs\Windows Components.
o Velg Networking Services\Details.
o Velg Internet Authentication Service, klikk Ok og Next.
o Ha Windows CD klar (evt C:\i386).
o Etter IAS er installert klikkes Finish og Close.
· Åpne et kommandovindu og kjør netsh ras add registeredserver. Dette sørger for at IAS serveren blir plassert i riktig Active Directory sikkerhetsgruppe.
· Følgende policy’er blir automatisk installert og konfigurert sammen med IAS:
o Connections to Microsoft Routing and Remote Access server policy
o Connections to other access servers
o Disse policy’ene skal ligge som hhv nest-sist og sist i rekkefølgen av remote access policies.
· Åpne et kommandovindu og kjør gpupdate.
Certification Authority (CA):
IAS krever et server sertifikat for EAP-TLS autentisering. Det kan anskaffes et kommersielt sertifikat som støtter TLS, eller som i dette tilfellet et sertifikat opprettet fra SBS 2003 R2.
· Gå til Control Panel\Add/Remove Programs\Windows Components.
o Velg Certificate Services, en dialog sier at maskinen ikke kan bytte navn eller flyttes ut og inn av et doméne etter at tjenesten er installert. Klikk Yes og Next.
o Velg Enterprise Root CA opsjonen.
o I Common Name for this CA skrives <firmanavn> CA.
o I Validity Period spesifiseres 15 års gyldighetsperiode. Klikk Next.
o Godta Default Storage Locations og klikk Next.
o En dialog sier at Certificate Services must temporarily stop iis. Klikk Yes.
o Ha Windows CD klar (evt C:\i386). Tjenesten installeres.
o Etter Certificate Authority er installert klikkes Finish og Close.
· CA tildeler normalt automatisk et Domain Controller sertifikat til SBS 2003 R2. IAS benytter dette sertifikatet for EAP-TLS autentisering på samme måte som for de vanlige maskinsertifikatene.
· Åpne et kommandovindu og kjør gpupdate.
Konfigurasjon av Internet Authentication Service:
Nå som det AD-integrerte CA er installert, og SBS 2003 R2 bør ha fått tildelt sitt maskinsertifikat, kan vi gå videre og sette opp en IAS Policy.
· Start Internet Authentication Service.
o Høyreklikk Remote Access Policies og velg New Remote Access Policy.
o Bruk navnet IAS WPA Enterprise Policy, og velg Typical Policy for a Common Scenario.
o Velg Wireless som tilgangsmetode.
o Legg til Domain Computers security group til listen over grupper som skal ha trådløse tilgangsrettigheter.
o Velg Smart Card or other certificate for EAP Type.
o Velg Configure og legg så til SBS 2003 R2 sertifikatet som ble installert for IAS (det skal ha ett års levetid). Klikk Ok.
o Klikk Next og Finish for å avslutte veiviseren.
· Sørg for at IAS WPA Enterprise Policy ligger øverst i listen over Remote Access Policies.
Vi må redigere IAS WPA Enterprise Policy ytterligere, både med hensyn til sikkerhet og kompatibilitet:
· Gjør følgende i Internet Authentication Service:
o Høyreklikk IAS WPA Enterprise Policy og velg Properties.
o Klikk Edit Profile.
o I Dial-in Constraints, Minutes clients can be connected (Session-Timeout).
§ Skriv 30 minutter og klikk Apply. WPA krypteringsnøkler vil da byttes hver ½ time.
o I Advanced arkfanen stilles følgende (klikk Add for å få opp attributter):
§ Still Ignore-User-Dialin-Properties attributtet til True.
§ Still Termination-Action attributtet til RADIUS-Request.
§ Service-Type skal være RADIUS Standard og Framed. Klikk Apply.
o I Encryption-arkfanen stilles følgende:
§ Bare Strongest Encryption (MPPE 128 bit) må være aktivert. Vi trenger den ikke for EAP-TLS, men får ikke fjerne den. Klikk Apply.
o I Authentication-arkfanen sjekkes følgende:
§ Ingen autentiseringsprotokoller i dialogen skal være aktivert.
§ Klikk EAP Methods for å få opp EAP Providers dialogen.
· Sjekk at kun Smart Card or other certificate er aktivert.
· Klikk Edit.
o Kontroller at maskinsertifikatet for SBS 2003 R2 er valgt i Smart Card or other Certificate Properties dialogen.
o Klikk Ok i alle dialoger for å lukke IAS WPA Enterprise Policy.
· Åpne et kommandovindu og kjør gpupdate.
Konfigurasjon av Group Policy Object for maskinsertifikater:
Følgende GPO opprettes for å konfigurere automatisk tildeling og rullering av maskinsertifikater til både SBS 2003 R2 og klientene. Gjør følgende i Group Policy Management:
· Høyreklikk Group Policy Objects og velg New
o Navn er Klient og Server Sertifikat Policy. Høyreklikk og velg Edit.
o Konfigurer følgende instillinger:
§ Gå til Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities.
· Høyreklikk Trusted Root Certification Authorities og velg Import og klikk Next.
· Klikk Browse og velg <firmanavn CA> rotsertifikatet som ble opprettet automatisk ved installasjonen av Certification Authority, normal plassering er C:\<servernavn_firmanavn>.crt.
· Certificate store: Trusted Root Certification Authorities.
Klikk Finish. Sertifikatet skal nå være synlig i Trusted Root Certification Authorities. Åpne det gjerne for å kontrollere.
§ Gå deretter til Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Automatic Certificate Request Settings.
· Høyreklikk Automatic Certificate Request Settings og velg New.
· I Certificate Template velges Computer.
· Klikk Finish.
§ Gå nå til Computer Configuration\Windows Settings\Security Settings\Public Key Policies.
· Høyreklikk Autoenrollment Settings og velg Properties.
o Renew.. aktivert.
o Update.. aktivert.
· Høyreklikk MyBusiness OU og velg Link an Existing GPO…
o Velg Klient og Server Sertifikat Policy og klikk Ok.
· Høyreklikk Domain Controllers OU og velg Link an Existing GPO…
o Velg Klient og Server Sertifikat Policy og klikk Ok.
· Gå til Group Policy Objects og høyreklikk Klient og Server Sertifikat Policy.
o Velg GPO Status og still User Configuration Settings Disabled.
· Åpne et kommandovindu og kjør gpupdate.
Vi har nå sørget for at både SBS 2003 R2 og klientene får automatisk tildeling og fornying av sine maskinsertifikater i hele rotsertifikatets levetid. Dersom vi ikke gjør dette må vi legge inn maskinsertifikatene manuelt på hver maskin og dessuten kjøre den samme manuelle rutinen hvert år. Det er vi sikkert glade for å slippe.
Konfigurasjon av Group Policy Object for trådløst nettverk:
Følgende GPO opprettes for å konfigurere trådløst nettverk på klientene:
· Høyreklikk MyBusiness OU og velg Create and link a GPO here.
o Navn på GPO’et er <firmanavn> Trådløs Policy. Høyreklikk og velg Edit.
o Konfigurer følgende instillinger:
§ Computer Configuration\Windows Settings\Security Settings\Wireless Network(IEEE 802.11) Policies.
§ Høyreklikk og velg Create Wireless Network Policy. Bruk veiviseren til å tildele policynavnet: Trådløs Policy. Velg Edit Properties og klikk Finish for å avslutte veiviseren.
§ General, Networks to access: Access point (infrastructure) networks only.
§ Velg Add i Preferred Networks arkfanen for policy'en Trådløs Policy.
§ Skriv inn nettverksnavnet/SSID f.eks: ”1234” for det trådløse nettverket, men navnet må være unikt i det trådløse miljøet.
§ Velg følgende avkrysningsbokser:
· Network Authentication à WPA.
· Data Encryption à TKIP.
· The key is provided automatically vil være grå men aktiv.
§ Klikk 802.1x arkfanen.
· Enable network access control using IEEE 802.1x vil være grå men aktiv.
· EAPOL-Start message.
o Vi kan velge standard (Transmit).
o Dersom vi velger Transmit per IEEE 802.1x vil hver pakke i autentiseringsprosessen bli kontrollert. Dette kan føre til noe latency, men er det sikreste mot MiM angrep.
· EAP type.
o Smart Card or other certificate.
o Klikk Settings for EAP Type.
§ Use a certificate on this computer à aktivert.
§ Use simple certificate selection à aktivert.
§ Validate server certificate à aktivert.
§ Trusted Root Certificate Authorities.
· <firmanavn> CA à aktivert. Klikk Ok for å lagre innstillingene.
§ Authenticate as computer when computer information is available à aktivert.
§ Computer authentication.
· Computer only.
§ Klikk Ok for å lukke dialogen, klikk deretter General arkfanen.
· Sørg for at Use Windows to configure wireless network settings for clients er aktivert. Dette bør i de fleste tilfeller sørge for at tredjeparts wlan-styringsverktøy som kan være installert på pc’ene deaktiveres, slik at Wireless Zero Configuration tar over.
o Klikk Ok i alle dialoger og lukk Trådløs Policy.
· I løpet av en normal arbeidsdag vil reautentiseringsintervallen vi stilte i IAS føre til 15‑16 popup-meldinger om at klienten er tilknyttet det trådløse nettverket. For de som ikke ønsker dette kan følgende vbscript legges inn i GPO’et:
o Gå til User Configuration\Windows Settings\Scripts\Logon\Logon Properties.
o Klikk Show Files…
o Høyreklikk i katalogen og velg New Text Document.
§ Navn er nopopup.vbs. Høyreklikk nopopup.vbs og velg Edit.
§ Skriv inn følgende (nøyaktig):
Set WSHSHell = Wscript.CreateObject("Wscript.Shell")
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\" & _
"CurrentVersion\Explorer\Advanced\EnableBalloonTips", _
"0", "REG_DWORD"
§ Lagre og lukk nopopup.vbs samt katalogen den ligger i.
o I Logon Properties:
§ Klikk Add for å legge til scriptet vi nettopp la inn.
· Klikk Browse og velg nopopup.vbs.
· Klikk Ok og Ok igjen for å lukke Logon Properties dialogen.
· Lukk deretter GPO’et <firmanavn> Trådløs Policy.
· Åpne et kommandovindu og kjør gpupdate.
Konsekvensen av å bruke dette scriptet må veies opp mot hvilke andre popup meldinger fra varslingsområdet som brukeren har behov for å se i løpet av dagen, for scriptet deaktiverer dem alle.
Konfigurasjon av RADIUS-klienter i Internet Authentication Service:
Man må legge til trådløse aksesspunkter som RADIUS klienter i IAS slik at de kan knytte seg til IAS serveren. Gjør følgende i IAS console for hvert aksesspunkt:
· Høyreklikk RADIUS Clients mappen og velg New RADIUS Client.
o Legg inn aksesspunktets friendly name og IP-adresse. Dette må være det samme navnet som gjelder i selve aksesspunktet. I dette eksemplet heter aksesspunktet AP1.
o Velg RADIUS Standard som client-vendor attribute og legg inn Shared Secret. En kompleks streng med tall og bokstaver på mellom 22 og 128 tegn.
o Aktiver Request must contain the Message Authenticator attribute. RADIUS-klienten vil da bekrefte sin identitet overfor RADIUS serveren med informasjon som er kryptert med Shared Secret.
· Gjenta prosedyren for hvert aksesspunkt, og bruk gjerne forskjellige Shared Secrets per RADIUS klient for å øke sikkerheten ytterligere. Disse må selvsagt korrespondere.
· Åpne et kommandovindu og kjør gpupdate.
Klienter (datamaskiner):
Ingenting må gjøres på klientene annet enn å oppdatere Group Policies. Maskinene må være medlem av SBS 2003 R2 doménet, og ha WPA Enterprise kompatible nettverkskort.
Konfigurasjon av Trådløse Aksesspunkter:
Prosedyren for å konfigurere trådløse aksesspunkter varierer avhengig av produkt og modell. Likefullt har leverandører vanligvis instrukser for hvordan man konfigurerer enhetene sine. Gjør følgende basert på instruksene fra leverandøren av det trådløse aksesspunktet:
· IP-adresse for aksesspunktet: Kontroller at IP-adressen er den samme som ble konfigurert for aksesspunktet under konfigurasjonen som RADIUS klient i IAS.
· Aksesspunktets friendly name: Samme som ble konfigurert i IAS.
· 802.1x nettverksinnstillinger: Velg WPA Enterprise.
· IP-adresse for primær RADIUS autentiseringsserver: Adressen til SBS 2003 R2.
· RADIUS-porten angis til 1812 (standard).
· RADIUS Shared Secret (delt hemmelighet med RADIUS serveren): Kontroller at den samme strengen benyttes i aksesspunktet som for RADIUS klienten i IAS.
Oppdatering av policy’er:
Underveis i prosedyren kjører vi kommandoen gpupdate på SBS 2003 R2, for å sikre oss at alle konfigurasjonsendringer vi gjør blir oppdatert umiddelbart. Dette er også nødvendig for å kunne aktivere endringene som etterfølgende konfigurasjoner krever. Standard oppdateringssekvens for Group Policy på Domain Controllers er 5 minutter, for klienter 90 minutter. Kjør derfor også gpupdate på aktuelle PC'er når konfigurasjonene på SBS 2003 R2 er ferdige.
Til slutt:
Det bør være det hele. Resultatet har blitt et tilnærmet vedlikeholdsfritt trådløst nettverk, med sikkerhet på enterprise-nivå. Det vil være like sårbart for radiostøy som alle andre trådløse nett, men har optimal kvalitet og god sikkerhet i forhold til dagens teknologiske standard. Fordi nettverket er noe mer sofistikert enn WPA/PSK er det nok nødvendig å gardere seg litt med fagkunnskaper før man deployerer en slik design ute hos kunder. Med denne løsningen blir det ”bra da vi dro derifra” – men det kan bli nødvendig å feilrette når f.eks applikasjoner tar seg frihet til å rote til i sertifikatlagre på enten SBS 2003 R2 eller PC’er. Et eksempel på dette er Trend Micro CSMS 3.0 som på en litt utidig måte utsteder SSL-sertifikat med identisk navn som DC-sertifikatet. Det fører til ryddeoperasjoner i både IAS- og Group Policies.
Feilretting er ikke noe problem, men vi må vite hva vi gjør hvor og hvorfor. J
Lykke til med sikre trådløse nettverk for SMB!
Baard Schøyen