1
802.1x im kabelgebunden Windowsnetzwerk - Problem bei Domänanmeldung
Hallo Leute,
von vorn hinweg sei erwähnt dass ich mir diesen Artikel durchgelesen habe und dass das nicht mein Problem löst.
Also wie es der Titel schon vermuten lässt bin ich gerade dabei 802.1x in einem kabelgebunden Windosnetzwerk zu konfigurieren - natürlich vorerst nur in einer Laborumgebung.
Einmal kurz zu den verwendeten Komponenten:
Am Switch hab ich 802.1x Authentifizierung laut HP Dokumentation aktiviert und ein Quarantäne VLAN angelegt.
Am Authentication Server hab ich eine eigene AD Gruppe für die zu authentifizierenden User angelegt und einen DHCP Scope definiert. Die Netzwerk und Verbindungsrichtlinien beim NPS hab ich mit dem 802.1x - Assistenten erstellt, als Condition entweder "Mitglied der vorher angelegten Gruppe" oder "Mitglied der Gruppe Domain Computers" angegeben und als Authentifizierungsmethode EAP-PEAP mit MS-CHAPv2 getunnelt verwendet. (später hab ich EAP-TLS verwendet doch das Problem bleibt bestehen)
So weit so gut. Wenn ich jetzt die Netzwerkinterfaces manuell konfiguriere funktioniert alles tadellos: Die Authentifizierung funktioniert, die VLAN Zuweisung funktioniert, DHCP weist eine IP zu,... Man kann sich also nicht beklagen.
Nun muss das ganze in einem Unternehmen implementiert werden. Also werd ich die Netzwerkinterfaces nicht manuell sondern per Gruppenrichtlinie konfigurieren. Die Gruppenrichtlinie hab ich nach Microsoft Anleitung erstellt.
Nun mein Problem: Ich brauch die Gruppenrichtlinie um mich authentifizieren zu können, bekomm die Gruppenrichtlinie aber nicht weil ich ja noch keinen Netzwerkzugriff hab.
Eigentlich dachte ich dass dafür diese Computerauthentifizierung ist.
Ich erklär jetzt noch genau was ich mach wenn ich einen Computer "ausroll": Der Computer hängt im Managment VLAN, hat also Zugriff aufs Netz und auf den DC. Ich füge den Rechner der Domäne hinzu. Melde mich mit einem User an und hol mir die Gruppenrichtlinien. Wenn ich diesen Computer nun auf einen 802.1x Port hänge und mich mit demsleben User anmelde funktioniert die Computerauth und nach der Domänenanmeldung auch die Userauth. Passt eigentlich dachte ich mir. Wenn ich mich jetzt mit einem anderen User, der die selben Rechte hat aber noch nie auf dem PC angemeldet war anmelden möchte krieg ich den Fehler "Die Domäne ... ist nicht erreichbar".
Wo ist mein Denkfehler?
MfG
Michael
von vorn hinweg sei erwähnt dass ich mir diesen Artikel durchgelesen habe und dass das nicht mein Problem löst.
Also wie es der Titel schon vermuten lässt bin ich gerade dabei 802.1x in einem kabelgebunden Windosnetzwerk zu konfigurieren - natürlich vorerst nur in einer Laborumgebung.
Einmal kurz zu den verwendeten Komponenten:
- Als Authentication Server und Domaincontroller, DHCP-Server, NPS, CA,... fungiert ein einziger Windows Server 2008 R2 (Domänenfunktionsebene ist auch "2008 R2")
- Authenticator ist ein HP Pro Curve 2610-24 Switch mit aktuellster Firmare (#R.11.30)
- Supplicants sind ausnahmslos Windows XP SP3 Maschinen
Am Switch hab ich 802.1x Authentifizierung laut HP Dokumentation aktiviert und ein Quarantäne VLAN angelegt.
Am Authentication Server hab ich eine eigene AD Gruppe für die zu authentifizierenden User angelegt und einen DHCP Scope definiert. Die Netzwerk und Verbindungsrichtlinien beim NPS hab ich mit dem 802.1x - Assistenten erstellt, als Condition entweder "Mitglied der vorher angelegten Gruppe" oder "Mitglied der Gruppe Domain Computers" angegeben und als Authentifizierungsmethode EAP-PEAP mit MS-CHAPv2 getunnelt verwendet. (später hab ich EAP-TLS verwendet doch das Problem bleibt bestehen)
So weit so gut. Wenn ich jetzt die Netzwerkinterfaces manuell konfiguriere funktioniert alles tadellos: Die Authentifizierung funktioniert, die VLAN Zuweisung funktioniert, DHCP weist eine IP zu,... Man kann sich also nicht beklagen.
Nun muss das ganze in einem Unternehmen implementiert werden. Also werd ich die Netzwerkinterfaces nicht manuell sondern per Gruppenrichtlinie konfigurieren. Die Gruppenrichtlinie hab ich nach Microsoft Anleitung erstellt.
Nun mein Problem: Ich brauch die Gruppenrichtlinie um mich authentifizieren zu können, bekomm die Gruppenrichtlinie aber nicht weil ich ja noch keinen Netzwerkzugriff hab.
Eigentlich dachte ich dass dafür diese Computerauthentifizierung ist.
Ich erklär jetzt noch genau was ich mach wenn ich einen Computer "ausroll": Der Computer hängt im Managment VLAN, hat also Zugriff aufs Netz und auf den DC. Ich füge den Rechner der Domäne hinzu. Melde mich mit einem User an und hol mir die Gruppenrichtlinien. Wenn ich diesen Computer nun auf einen 802.1x Port hänge und mich mit demsleben User anmelde funktioniert die Computerauth und nach der Domänenanmeldung auch die Userauth. Passt eigentlich dachte ich mir. Wenn ich mich jetzt mit einem anderen User, der die selben Rechte hat aber noch nie auf dem PC angemeldet war anmelden möchte krieg ich den Fehler "Die Domäne ... ist nicht erreichbar".
Wo ist mein Denkfehler?
MfG
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138466
Url: https://administrator.de/contentid/138466
Printed on: April 20, 2024 at 04:04 o'clock
1 Comment
Ach Gott, ein Routingfehler wars. Draufgekommen bin ich weil er die Gruppenrichtlinien nicht übernommen hat. Ich IDIOT!
