Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem bei der Authentifizierng mit dem IEEE802.1X (Radius Server) - NPS Windows 2008

Frage Microsoft Windows Server

Mitglied: aollesch

aollesch (Level 1) - Jetzt verbinden

09.10.2009, aktualisiert 12:40 Uhr, 10271 Aufrufe, 4 Kommentare

Problem bei der Anmeldung eines Clients an das geschützte Netzwerk? Fehlerquellen? wie werte ich den Log des Radius Servers richtig aus?

Hallo,

im Moment Teste ich eine sichere Authentifizierung über den IEEE802.1X Standart für ein kabelgebundenes Netzwerk und habe bei der Anmeldung eines Clients jetzt ein Problem.

Die Testumgebung sieht im Moment so aus, das

1. Server AD, DNS, DHCP, ADCA(Zertifikatsserver)
2. Server NPS (Radius-Server)

Zunächst habe ich 2 Benutzer im AD angelegt die sind ganz normal in der Gruppe Domänen-Benutzer.
Danach habe ich den NPS Server installiert.
Anschließend auf Server 1 den ADCA um ein Serverzertifikat für den NPS Server zu erstellen. Dieses Zertifikat wurde dann auch per Gruppenrichtlinie verteilt. (RAS IAS Zertifikat aus der Zertifikatsvorlage des Zertifikatsserver dupliziert und für die automatische Verteilung konfiguriert)
Dann auf dem NPS den Radius Server konfiguriert, den Radius Client eingetragen (D Link Switch mit entsprechendem 802.1X Support)
Eine Netzwerkzugriffsrichtlinie erstellt, in der alle Domänenbenutzer die sich über den Ethernet Standart anmelden authentifizieren müssen.
Die Authentifizierung soll über PEAP-MS-CHAP v2 laufen (also mit Benutzername und Passwort über eine gesicherte Verbindung).

Nun möchte ich einen Client (Windows 7, mit dem gestartetem Dienst für die IEEE802.1X Authentifizierung) für das Netzwerk anmelden.
Der Client ist kein Domänenmitglied (soll auch so sein, da es später auch den fall geben wird, das nicht Domänen Computer in das Netzwerk mittels entsprechender User Authentifizierung gelangen sollen)

Dieser Client scheitert nun aber an der Authentifizierung und wird nicht ins Netzwerk gelassen auch wenn ich mich mit einem der im AD eingetragenen Benutzer anmelde. (Diese Benutzer haben auch die Einrichtung, dass sie über den NPS angemeldet werden soll)

Per Wireshark habe ich auch schon kontrolliert ob der Switch mit dem Radius Server kommuniziert, dies ist der fall.
Jedoch sehe ich keine LDAP Kommunikation zwischen AD und NPS Server, diese sollte doch aber stattfinden wenn der Radius Server Benutzer aus dem AD kontrollieren bzw. authentifizieren muss (oder irre ich mich da?)

Die Log dabei des Radius Server gibt mir leider nur wenig Aufschluss über den Erfolg oder Musserfolg der Kommunikation bzw. dem Einsatz des Zertifikates. (etwas Infos wie ich dieses Besser auswerten könnte wären mir sehr willkommen)

So ich hoffe ich hab euch erstmal genügend Informationen dazu gegeben und hoffe ihr könnt mir etwas weiterhelfen.

Schon im vorraus vielen Dank!
Mitglied: dog
09.10.2009 um 18:59 Uhr
sichere Authentifizierung über den IEEE802.1X Standart für ein kabelgebundenes Netzwerk

Gleich Vorweg: 802.1x ist für kabelgebundene Netzwerke ungeeignet, weil schon ein Hub reicht um es auszuhebeln.

Aber zu deinem Problem: Damit NPS/IAS funktioniert muss er extra in der Domäne registriert sein.
Das geht indem du einen rechtsklick auf den Server-Eintrag machst ("NPS (Lokal)") und dort "Server in Active Directory registrieren" auswählst.
Hast du das schon gemacht?

Grüße

Max
Bitte warten ..
Mitglied: MadPAM
12.10.2009 um 12:50 Uhr
Zitat von dog:
> sichere Authentifizierung über den IEEE802.1X Standart
für ein kabelgebundenes Netzwerk

Gleich Vorweg: 802.1x ist für kabelgebundene Netzwerke
ungeeignet, weil schon ein Hub reicht um es auszuhebeln.
Mit dem allgemein bekannten Parameter Multilink - off auf dem Switch sollte das allerdings unmöglich sein.

Aber jetzt zu dem Problem.
Da die Clients nicht in der Domäne sind, erhalten sie nicht das Root-Zertifikat es CA die das Zertifikat des NPS Servers gezeichnet hat. Daher vertrauen sie diesem nicht. Für die Authentifizierung via RADIUS muss das Zertifikat sogar im NTAuth Store sein - sonst geht da nix.
Deshalb zum testen erst mal die Clients in die Domäne aufnehmen.
Mit nicht Domänen Clients ist EINIGES an Handarbeit in der Konfiguration nötig.
Bitte warten ..
Mitglied: aollesch
14.10.2009 um 10:06 Uhr
Hallo,

danke für eure Antworten, aber der Fehler lag in einer Verbindungsanforderungsrichline.
Das die Clients das Root CA nicht erhalten ist in sofern kein Problem da ich ein gesichertes Kennwort für die Authentifizierung benutze und somit auf den Geräten kein Root CA vorhanden sein muss.

das mit dem Hub und dem Parameter Multilink war noch ein guter Hinweis! Danke für eure Antworten.
Bitte warten ..
Mitglied: spacyfreak
19.10.2011 um 21:27 Uhr
Ähh - auch wenn du PEAP EAP-Mschapv2 verwendest (user meldet sich mit domänencredentials an) brauchen die clients das root ca zertifikat (NICHT clientzertifikat, das ist was anders), damit sie dem RADIUSSERVER Zertifikat vertrauen.
IN beiden fällen eap-mschapv2 und eap-tls braucht der radiusserver nämlich ein passendes serverzertifikat, das beim auth-vorgang zum client geschickt wird (getunnelt).
Bitte warten ..
Ähnliche Inhalte
Windows Installation
Windows Server 2008R2 RADIUS (NPS)
Frage von spammeWindows Installation4 Kommentare

Hallo, ich habe ein Problem mit der Einrichtung eines Windows AD RADIUS-Servers. Der Server selbst läuft, akzeptiert nur keinerlei ...

LAN, WAN, Wireless
WLAN mit Windows NPS Radius ohne Zertifikate
Frage von xTobiasxLAN, WAN, Wireless6 Kommentare

Hallo, ich bin im Moment dabei ein WLAN Netzwerk aufzubauen. Das Gäste WLAN ist schon mit einer pfSense als ...

Windows Netzwerk
Frage zur Radius Einrichtung unter Windows Server 2016 NPS
gelöst Frage von Herbrich19Windows Netzwerk4 Kommentare

Hallo, Ich versuche gerade Radius einzurichten. Nun hapert's an den Patterns. Ich möchte alle User meiner Domäne natürlich lokal ...

Windows Server
Wie kann ich einem Windows NPS-Server (RADIUS) ein Zertifikat hinterlegen?
gelöst Frage von billythekidWindows Server6 Kommentare

Hallo, Meine Situation: wir betreiben zwei Windows-Server 2012 basierende Domänencontroller u.a. mit der NPS-Rolle zur RADIUS-Authentifizierung von WLAN-Clients. Die ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 105 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...