Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RADIUS-Authentifizierung an Server 2008 R2 funktioniert nicht

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Festus94

Festus94 (Level 1) - Jetzt verbinden

15.02.2013 um 17:01 Uhr, 4595 Aufrufe, 8 Kommentare

Ich habe Probleme, die RADIUS-Authentifizierung für WLAN-Zugänge erfolgrich umzusetzen. Der Server meldet ständig ein Problem mit dem EAP.

Hallo zusammen,

vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".

Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.

Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?

Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):

00e6323deee104fa86af2b9021ed96d3 - Klicke auf das Bild, um es zu vergrößern

2b72d84bf74bf73c79950547364c7603 - Klicke auf das Bild, um es zu vergrößern

ae8c85bbb487cd5c4529ae8c04ca3f58 - Klicke auf das Bild, um es zu vergrößern

f308d4880d65031c20ca3e65070e79d4 - Klicke auf das Bild, um es zu vergrößern

e8ee45c6b04ed02e40588e669afbfb19 - Klicke auf das Bild, um es zu vergrößern

Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.

Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen.


Viele Grüße und schönes Wochenende !

tbnwadm
Mitglied: aqui
15.02.2013 um 18:07 Uhr
Du musst nicht mit Zertifikaten arbeiten es geht auch PSK obwohl es mit Radius sinnvoller wäre.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
http://www.administrator.de/contentid/142241
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Bitte warten ..
Mitglied: Festus94
15.02.2013, aktualisiert um 18:38 Uhr
Hallo @aqui, danke für die schnelle Reaktion.

Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will.

Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.

Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.

Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:15 Uhr
Nein ! So leicht ist das natürlich nicht.
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 19:28 Uhr
Alles klar. Hast Du zufällig auch einen Tutorial-Tipp, was CAs betrifft ?

Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.

Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann.

Ein großes Danke für Deine Mühe !


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:54 Uhr
Guckst du hier:
http://bit.ly/UnV2wg

oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx

Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 20:52 Uhr
Danke für die Tipps.

Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.

Danke nochmals.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
17.05.2013 um 16:07 Uhr
Funktioniert es denn nun ??

Wenn ja bitte dann auch:
http://www.administrator.de/faq/32
nicht vergessen !!
Bitte warten ..
Mitglied: Festus94
17.05.2013 um 16:10 Uhr
Upps, ganz vergessen, sorry!

Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.

Es hat daher im Prinzip nicht funktioniert.


VG
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Radius-Server Mac Authentifizierung
gelöst Frage von stifkeLAN, WAN, Wireless6 Kommentare

Guten Morgen liebe Leute. Ich beschäftige mich gerade mit einem Mac Authentifizierung Projekt. Ziel soll es sein, anhand der ...

LAN, WAN, Wireless
RADIUS Authentifizierung am entferntem AD
Frage von Netsn00pLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich möchte ein Netzwerk über einen RADIUS Server an ein anderes Netzwerk mit einem AD anzubinden. Die ...

Netzwerkgrundlagen
Experte für RADIUS-Authentifizierung
gelöst Frage von osze90Netzwerkgrundlagen16 Kommentare

Guten Tag Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über ...

Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 StundeWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 3 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...