Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS-Server EAP kann nicht verarbeitet werden

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Corrben

Corrben (Level 1) - Jetzt verbinden

04.03.2013 um 15:21 Uhr, 5704 Aufrufe, 3 Kommentare

Umgebung:
RADIUS-Server: Windows Server 2012 Datacenter, RADIUS-Client: D-Link DAP-1353 AccessPoint, Client: Windows 8 Pro Notebook

Zertifkat wurde von der CA in der Gesamtstruktur (übergeordnete Domain) ausgestellt und auf dem RADIUS-Server installiert.

Hallo zusammen,

ich bin gerade dabei, etwas mit RADIUS zu experimentieren. Ich möchte meine AccessPoints mit RADIUS absichern.


Konfiguration sieht wie folgt aus:
Client: Windows 8 Pro
Anmeldung: Domänen-Account

RADIUS-Client: Wireless AccessPoint D-Link DAP-1353:
Mode: AP
Authentication: WPA-Enterprise (WPA2 Only)
Cipher Type: AES
NAP: Disabled
RADIUS-Server: IP-vom-RADIUS, Port: 1812
RADIUS Secret: Schlüssel, welcher am RADIUS-Server erstellt wurde


RADIUS-Server:
RADIUS-Clients: oben stehender AP, mit IP-Adresse und manuellem Schlüssel (dieser Schlüssel ist im AP eingetragen)
Herstellername: RADIUS Standard
[x] "Access-Request"-Meldungen müssen das Attribut "Message-Authentivator" beinhalten
[ ] RADIUS-Client ist NAP-fähig

Verbindungsanforderungsrichtlinie:
Authentifizierungsanbieter: Lokaler Computer
EAP-Konfiguration (Extensible Authentication-Protokoll): Konfiguriert
EAP-Methode (...): Microsoft Smartcard- oder anderes Zertifikat (hier habe ich das von der CA ausgestellte Zertifikat ausgewählt, damit sich der Client mit diesem verbindet)
Authentifzierung der Netzwerkrichtlinie außer Kraft setzen: Aktiviert
Authentifizierungsmethode: EAP

Bedingungen:
- NAS-Porttyp: Funk (IEEE 801.11) OR Funk (sonstige)
- Client-IPv4-Adresse: IP-des-AccessPoints

Netzwerkrichtlinien:
Benutzereinwähleigenschaften ignorieren: Wahr
Zugriffsberechtigung: Zugriff gewähren
Authentifizierungsmethode: CHAP, MS-CHAP v1, MS-CHAP v2
NAP-Erzwingung: VOllständigen Netzwerkzugriff gewähren
IP-Einstellungen: Dem Client wird eine IP-Adresse bereitgestellt
Framed-Protocol: PPP
Service-Type: Framed
Verschülsselungsrichtlinie: Aktiviert
Verschlüsselung: Stärkste Verschlüsselung (MPPE 128-Bit)

Bedingungen:
- NAS-Porttyp: Funk (IEEE 802.11) OR Funk (Sonstige)
- Windows-Gruppe: meine vorher angelegte AD Gruppe mit meinem User drin



Mit dieser Konfiguration bekomme ich am Client beim Versuch zum Herstellen einer Verbindung die Meldung: Keine Verbindung mit dem Netzwerk möglich

In den Eventlogs am RADIUS-Server ist zu sehen:
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.


Hat hier jemand eine Idee, was noch fehlt? Habe dieses Szenario nach einem Step-by-Step-HowTo aufgebaut, aber ohne Erfolg bisher
Mitglied: aqui
04.03.2013, aktualisiert um 15:26 Uhr
Ggf. ist das noch hilfreich zum Troubleshooting:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Noch ein Tip: Framed Protokoll kann niemals PPP sein. Das muss eigentlich auf EAP stehen es sei denn MS macht da was grundlegend anders.
Im o.a. Tutorial kannst du das auch so nachlesen.
Sehr sinnvoll wäre hier ein Logauszug vom Radius zu posten (analog zum Debug Output des FreeRadius) dann wüsste man sofort genau wo es kneift !
Zudem solltest du aus Sicherheitsgründen CHAP, MS-CHAP v1 zwingend verbieten, denn diese Protokolle sind binnen Sekunden knackbar !
Bitte warten ..
Mitglied: Corrben
04.03.2013 um 16:14 Uhr
Mit Logs von FreeRadius kann ich leider nicht dienen, da ich Windows Server 2012 als Radius-Server einsetze
Ich kann aber die beiden Eventlogs von Windows mal posten:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: Domäne\User
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\User

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-xx-xx-xx-70

NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0

RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUS-Hostname.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.





Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: host/Hostname.Domäne
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne\Hostname$

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: xx-xx-xx-xx-xx-13:WLAN
Anrufer-ID: xx-xx-x-xx-xx-70

NAS:
NAS-IPv4-Adresse: 1.2.3.4 (IP vom AP)
NAS-IPv6-Adresse: -
NAS-ID: xx:xx:xx:xx:xx:13
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0

RADIUS-Client:
Clientanzeigenname: WLAN-AP
Client-IP-Adresse: 1.2.3.4 (IP vom AP)

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUSServer.Domäne
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.


Diese beiden Meldungen erscheinen, sobald ich mich 1x versuche mit dem Notebook mit dem WLAN zu verbinden.
Wenn ich das Tool NTRadPing nutze und die Daten entsprechend eintrage, bekomme ich nur die Meldung: no response from server

Auf dem Server tauchen aber auch keine Logs auf, das Tool kommt also nicht zum Server durch. Firewalls hängen keine dazwischen.
Bitte warten ..
Mitglied: Corrben
04.03.2013 um 17:40 Uhr
Kann es evtl. daran liegen, dass Routing und RAS nicht konfiguriert ist? Wenn dem so ist, wie muss ich RRAS konfigurieren?
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Welcher RADIUS-Server
Frage von GurustratorNetzwerke5 Kommentare

Hallo zusammen, Ich bin auf der Suche nach einem Radius Server für ein Unternehmensnetzwerk mit ca. 1000 Windows Clients. ...

Windows Server
Loginscript wird nicht verarbeitet
Frage von franksigWindows Server17 Kommentare

Hallo zusammen, Ich hab mal wieder ein leidiges Loginscriptproblem, Ausgangslage: es git eine GPO Namens "Loginskript-Produktion" ich habe dort ...

Verschlüsselung & Zertifikate
Zertifikat für RADIUS-Server
gelöst Frage von cyrex512Verschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich habe einen RADIUS-Server unter Windows Server 2012 R2, welcher das interne WLAN schützen soll. Das ganze ...

LAN, WAN, Wireless
RADIUS Server MitarbeiterWLAN und GeraeteWLAN in einem?
Frage von grillinator95LAN, WAN, Wireless5 Kommentare

Kann ich am Radiusserver neben der Domänenauthentifizierung auch zusätzlich einen Schlüssel für bestimmte Geräte freigeben? Ich sag mal so ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 6 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 13 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 14 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 17 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...