Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RADIUS-Authentifizierung an Server 2008 R2 funktioniert nicht

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Festus94

Festus94 (Level 1) - Jetzt verbinden

15.02.2013 um 17:01 Uhr, 4276 Aufrufe, 8 Kommentare

Ich habe Probleme, die RADIUS-Authentifizierung für WLAN-Zugänge erfolgrich umzusetzen. Der Server meldet ständig ein Problem mit dem EAP.

Hallo zusammen,

vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".

Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.

Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?

Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):

00e6323deee104fa86af2b9021ed96d3 - Klicke auf das Bild, um es zu vergrößern

2b72d84bf74bf73c79950547364c7603 - Klicke auf das Bild, um es zu vergrößern

ae8c85bbb487cd5c4529ae8c04ca3f58 - Klicke auf das Bild, um es zu vergrößern

f308d4880d65031c20ca3e65070e79d4 - Klicke auf das Bild, um es zu vergrößern

e8ee45c6b04ed02e40588e669afbfb19 - Klicke auf das Bild, um es zu vergrößern

Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.

Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen.


Viele Grüße und schönes Wochenende !

tbnwadm
Mitglied: aqui
15.02.2013 um 18:07 Uhr
Du musst nicht mit Zertifikaten arbeiten es geht auch PSK obwohl es mit Radius sinnvoller wäre.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
http://www.administrator.de/contentid/142241
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Bitte warten ..
Mitglied: Festus94
15.02.2013, aktualisiert um 18:38 Uhr
Hallo @aqui, danke für die schnelle Reaktion.

Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will.

Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.

Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.

Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:15 Uhr
Nein ! So leicht ist das natürlich nicht.
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 19:28 Uhr
Alles klar. Hast Du zufällig auch einen Tutorial-Tipp, was CAs betrifft ?

Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.

Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann.

Ein großes Danke für Deine Mühe !


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:54 Uhr
Guckst du hier:
http://bit.ly/UnV2wg

oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx

Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 20:52 Uhr
Danke für die Tipps.

Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.

Danke nochmals.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
17.05.2013 um 16:07 Uhr
Funktioniert es denn nun ??

Wenn ja bitte dann auch:
http://www.administrator.de/faq/32
nicht vergessen !!
Bitte warten ..
Mitglied: Festus94
17.05.2013 um 16:10 Uhr
Upps, ganz vergessen, sorry!

Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.

Es hat daher im Prinzip nicht funktioniert.


VG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...