Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verständnisfragen zum IAS Server 2003

Frage Netzwerke LAN, WAN, Wireless

Mitglied: habunus

habunus (Level 1) - Jetzt verbinden

20.08.2008, aktualisiert 25.08.2008, 8217 Aufrufe, 8 Kommentare

Hallo an euch,

ich habe paar Fragen zum Verständnis zu dem IAS Server 2003. Habe mir auch schon seit 3 Tagen etliche How Tos im Google gesucht aber hätte da noch paar Dinge die mir unklar sind.
Also für einen IAS Server zu erstellen benötige ich einen Domain - Controller auf diesem müssen folgende Dienste installiert sein.

- Der Zertifikat Dienst, IAS Dienst und der Ras Dienst

Nun sollte man eine Zertifikat erstellen für den IAS Dienst. Was ich nicht verstehe wie sagt ich dem IAS Dienst das er dieses Zertifikat dann nutzen soll für die Client Authentifizierung??

Muss man im IAS Dienst weitere Richtlinien erstellen für die Clients das die sich einwählen können (EAP-Mschap-v2)?

oder weitere Richtlinien erstellen für den IAS Dienst?

Wie kann ich es realisieren das der Client der sich am IAS Server anwählt sich das Zertifikat selbst zieht?

Habe auch hier im Forum gelesen das das Zertifikat genau stimmen muss für den IAS. Auf was sollte man da drauf Achten?

Sorry meine vielen Fragen aber würde mich freuen wenn mir einer von euch ein Tipp geben könnte, das ich den Testserver hier zum laufen bekomme.

Bedanke mich im Voraus.
Habunus
Mitglied: spacyfreak
20.08.2008 um 22:51 Uhr
Na da hast du aber ganz schön Glück dass du mich hast, sag ich mal ganz bescheiden...

Wenn du für WLAN 802-1X PEAP (MSCHAPv2) nutzen willst brauchst du

1. einen IAS. Dieser kann auf dem DC installiert werden, ODER als Memberserver. Der Memberserver MUSS jedoch im AD registriert sein damit er User aus diesem AD authentierien kann, d.h. das Computerkonto des IAS muss in der Gruppe "IAS u. RAS SErver" sein oder so ähnlich

2. ein Serverzertifikat für den Radius. Bei PEAP sendet der IAS Radius Server an den Client sein Serverzertifikat, um sich zum einen beim Client zu authentisieren, zum anderen enthält das Zertifkat den öffentl. Schlüssel des Radiusservers. Mit diesem wird beim Authentisierungsvorgang das EAP Paket das das MSCHAPv2 mit den Usercredentials enthält, eingekapselt (ein Tunnel im Tunnel im Tunnel...).

3. Das IAS Server zertifikat bekommst du von einer Zertifizierungsstelle, z. B. Verisign. ODER du installierst selber eine Zertifizierungsstelle. Installiere diese am gesten auf einem TEst-Domaincontroller, der kann z. B. test.de heissen. Instaliere diese Root CA als "Enterprise Root CA" auf diesem DC! Nicht als Standalone CA, das hat bei mir nicht funktioniert.
Wenn du dei CA instalierst wird auch ein IIS Webserver installiert. Wenn die CA fertig installiert ist greifst du mit dem IAS Radiusserver per Web-Browser auf diesen Test-DC auf dem die CA läuft zu, per http://ip-des-test-dc/certsrv
Mit dieser Webseite kannst du ein Zertifikat incl. privatem Schlüssel erzeugen lassen von der CA,Wähle als Zeritifikats-Art "Webserver" aus. Verschlüsselung 1024bit. (2048 hat beimir nicht geklappt..).
und das Zertifikat incl. private Key wird auf dem IAS installiert.
In aller REgel jedoch im falschen certstore!!!! Auf dem IAS öffnest du das Snapin "´Certificate Store" und kopierst das IAS Serverzertifikat in den Certstore "Lokaler Computer". DANN kannst du auf dem IAS unter "RAS Richtlinien" eine Richtline machen wo das Computerkonto des Users im AD in der Gruppe "Computers" drin sein muss. Bei dieser RAS-Policy wählst du unter "Profile"..."Authentisierung" glaub ich "eAP PeAP MSCHAPv2) aus. Wenn du auf edit gehst siehst du auch das Serverzeritifkat. FAlls da ne Fehlermeldung kommt, dann ist das Zertifikat im falshcen Certstore, der IAS kann es nicht finden.
Dann machst du darunter eine zweite Richtlinie, die prüft ob der User in der Gruppe "Domain Users" drinne ist (Windowsgroup..). Dort das selbe unter Profle und "Authentisierung" einstellen mit EAP PEAP!!! Dann den IAS neu starten nach jeder Änderung an den Richtlinien.


Bei den WLAN Clients letztendlich musst du das Root CA Zertifikat (also das Certifikate der CA !!!) in denr Client Zeritifikatsstore installieren, und zwar unter lokaler Computer!!!! DAs geht nur mit lokalen adm. Rechten. Beim WLAN Adapter musst du dann auch EAP PEAP MSCHAP v2 wählen (standardmässig EAP-TLS).

Viel Erfolg! Da hast du dir ne schön komplexe Geschichte ausgesucht! Umso schöner wenns letztendlich läuft...
Bitte warten ..
Mitglied: habunus
20.08.2008 um 23:00 Uhr
Mercy das es dich gibt spacyfreak

Das hört sich alles sehr komplex zuerst mal an, werde mich aber morgen nochmal an die Sache machen.

Kanz kurz was wir vorhaben. Ich habe bei uns im Ort etliche Funktstrecken via 5 GHz aufgebaut wo wir TV Stationen pflegen und Video Clips von unserer Kundschaft einspielen.

Nun wollten wir das auch User per Laptop oder Wireless Karte im PC unsere Internet Verbindung nutzen können.

Ich kann aber nicht davon ausgehen das jeder der unsere Internet Verbindung nun nutzen will sich einen Zertifikat auf den PC spiel.

Gibt es keinen andere möglichkeit das der Kunden sich z.B.: sich mit Username und Passwort einwählen kann oder benötige ich unbediengt eine Radius Server dazu.

Mich stört nur das der Kunde sich was installieren muß.
Oder habe ich da was falsch verstanden?

Habunus
Bitte warten ..
Mitglied: spacyfreak
20.08.2008 um 23:09 Uhr
Der muss sich ja nix installieren - nur das Root CA Zertifikat. Und da ist ja kein Programm im herk. Sinne.
Der User braucht jedenfalls ein userkonto im AD, das ist halt die gängige u. sichere Methode per 802.1X. Alterniative wären WLAN WPA Keys pre shard, doch da skalliert nicht bei vielen u. wechselnden usern, und wird unsicher wernn der Key weitergereicht wird.

Ja es ist rech tkompliziert. Wenn du weder von AD noch von Radius geschweigedenn Certifizierungsstlelle ne Ahnung hast was di eso machen dann wird das recht hakelig das zum laufen zu bringen geschweige denn zu erklären. Ist im Prinzip ganz einfach wenn mans mal kapiert hat, doch es sind viele Abhängigkeiten und kompl. Protokolle die da mitscpielen müssen...
Bitte warten ..
Mitglied: habunus
20.08.2008 um 23:12 Uhr
OKI werde mich morgen mal an die Sache machen und berichten

Vielen Dank nochmals für deine Hilfe
Bitte warten ..
Mitglied: habunus
21.08.2008 um 23:12 Uhr
Hallo Spacyfreak,

denke mal das ich das so nicht hinbekomme mit der Authentifizierung am IAS. Nervt mich zwar voll ab aber naja.

Lese nun schon etliche Tage Englische HOWTS aber es will nicht Funktionieren

Du bist doch in der Sache ein Freak hast du vieleicht einen HOWTO oder so was ähnlich?


Währe Toll wenn du mir da Helfen könntest.
Bitte warten ..
Mitglied: spacyfreak
22.08.2008 um 06:55 Uhr
Ja aller anfang ist schwer.
Das HowTo in "Grobform" steht ja schon oben in meinem ersten Post.
Da stehen die ganzen "Spezialdinger" drin auf die man aufpassen muss und die grobe Vorgehensweise.
Eine Step-by-Step Anleitung hab ich leider nur im Kopf, das würde wohl nen Tag dauern das alles aufzuschreiben.
Doch wer soll das bezahlen?
Wo hängts denn konkret bei Dir? Was tut denn nicht?
Bitte warten ..
Mitglied: habunus
25.08.2008 um 17:13 Uhr
Hallo spacyfreak,

also habe mir das Thema nun mal richtig in Ruhe durchgelesen.

Habe einen DC erstellt test.local, IAS,DHCP und den Zertifikatdienst installiert.

Habe alles nun soweit konfiguriert mit Zertifikat usw und bekomme wenn ich mich einwählen will folgende Fehlermeldung:


Benutzer "test.local\testuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = 192.168.1.3
NAS-Kennung = Tegro-Master1
Kennung der Anrufstation = 02-0B-6B-B0-2B-EF:Internet
Kennung der Empfängerstation = 00-19-D2-B8-2D-C8
Clientanzeigename = Access point
Client-IP-Adresse = 192.168.1.3
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = <kein>
Authentifizierungsanbieter = <unbestimmt>
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Code = 49
Ursache = Der Verbindungsversuch stimmt mit keiner Verbindungsanforderungsrichtlinie überein.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Habe dem User (testuser) in der AD das einwählen über IAS Richtlinienen erlaubt. Der Laptop mit dem ich mich in das W-Lan einwählen will ist nicht in der Domain test.local. Dieser ist einfach nur in einer Arbeitsgruppe.

Vieleicht hast du ein Plan wo mann da noch eingreifen kann.

Mfg

Habunus
Bitte warten ..
Mitglied: spacyfreak
25.08.2008 um 19:10 Uhr
Yo wie die Fehlermeldung sagt, hat keine der Richtlinien im IAS "gematcht". Da muss man ansetzen.
Du musst im IAS in der Richtlinenkonfiguration die Windows Gruppe eingeben, in der der User der authentisiert werden soll drin sein muss, z. B. "Domänen Benutzer".
Je nachdem musst du auf dem IAS dazu eine Universelle Gruppe nehmen, FALLS Domänenlokale oder globale nicht funktioniert.
Diese Universelle Gruppe muss auf dem DC zuvor eingerichtet sein, und alle User die WLAN machen können sollen müssen in diese Gruppe gesteckt werden.

Unter Verbindungsanforderungsrichtlinie oder wie der shit heisst muss zumindest eine Richtlinie drn sein, z. B. die Tag- u. Nachtzeit in der man sich authentiiseren darf.

Der Test-DC sollte eigentlich nur für die Installation der Zertifizierungsstelle genutzt werden!
Auf dem Test-DC die CA installieren und das IAS Serverzertifikat dort erstellen und auf dem "produktiven" IAS dann das Zertifikat als auch das Root CA Zertifikat der CA installieren!

Auf jeden Fall bist du auf dem richtigen Weg....
Wir können ja mal ne online session machen wenn du magst über VNC oder sowas dann schau ich mir das an. Bei ausufernder Hilfestellung würds allerdings paar Euronen kosten.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...