Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Verschlüsselungsprobleme

Frage Netzwerke Netzwerkprotokolle

Mitglied: gabeBU

gabeBU (Level 1) - Jetzt verbinden

02.09.2013, aktualisiert 21.10.2013, 3538 Aufrufe, 28 Kommentare, 2 Danke

Hallo Zusammen

Ich hoffe das wird die letzte Frage dazu, aber ich bin schon wieder ein rechtes Stück weitergekommen. Die Authentifizierung läuft jetzt und der Benutzer wird gefunden und akzeptiert. Nur leider behauptet der Server, dass der Benutzer keine umkehrbar verschlüsselte Kennwörter aktiviert seien:
01.
  
02.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. 
03.
 
04.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. 
05.
 
06.
Benutzer: 
07.
	Sicherheits-ID:			NULL SID 
08.
	Kontoname:				843497ca71a9 
09.
	Kontodomäne:				UEB 
10.
	Vollqualifizierter Kontoname:		UEB\84-34-97-ca-71-a9 
11.
 
12.
Clientcomputer: 
13.
	Sicherheits-ID:			NULL SID 
14.
	Kontoname:				- 
15.
	Vollqualifizierter Kontoname:		- 
16.
	Betriebssystemversion:			- 
17.
	Empfänger-ID:				84-34-97-43-5f-99 
18.
	Anrufer-ID:				84-34-97-ca-71-a9 
19.
 
20.
NAS: 
21.
	NAS-IPv4-Adresse:			192.168.210.51 
22.
	NAS-IPv6-Adresse:			- 
23.
	NAS-ID:					UEBSW01 
24.
	NAS-Porttyp:				Ethernet 
25.
	NAS-Port:				7 
26.
 
27.
RADIUS-Client: 
28.
	Clientanzeigenname:				UEBSW01 
29.
	Client-IP-Adresse:			192.168.210.51 
30.
 
31.
Authentifizierungsdetails: 
32.
	Name der Verbindungsanforderungsrichtlinie:	RADIUS-Client 2 
33.
	Netzwerkrichtlinienname:		- 
34.
	Authentifizierungsanbieter:		Windows 
35.
	Authentifizierungsserver:		UEBSRV.ueb.lokal 
36.
	Authentifizierungstyp:		MD5-CHAP 
37.
	EAP-Typ:			- 
38.
	Kontositzungs-ID:		- 
39.
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
40.
	Ursachencode:			19 
41.
	Ursache:				Der Benutzer konnte nicht durch das Challenge-Handshake Authentication-Protokoll (CHAP) authentifiziert werden. Für dieses Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort vorhanden. Überprüfen Sie die Kennwortrichtlinie der Domäne bzw. die Kennworteinstellungen des Benutzerkontos, um sicherzustellen, dass umkehrbar verschlüsselte Kennwörter aktiviert sind.
Ich habe mich an die Lösung von Microsoft gehalten;
http://technet.microsoft.com/en-us/library/dd197464%28v=ws.10%29.aspx

...und die Einstellungen vorgenommen, sprich allen Benutzern das umkehrbar verschlüsselte Kennwort aktiviert und die GPO angepasst. Trotzdem wird mir immer noch angezeigt, dass die umkehrbare Verschlüsselung nicht richtig ausgeführt wird. Leider kann mit meinem Switch (HP ProCurve 2520G-8-PoE) nur die CHAP-Verschlüsselung anwenden, EAP ist leider nicht möglich.

Was kann ich noch tun?

Gruss

gabeBU

28 Antworten
Mitglied: ollioe
02.09.2013 um 17:19 Uhr
Ich kann leider nicht erkennen was für ein NAS du betreibst, aber im Grunde scheint es so das auf diesem NAS noch kein CHAP aktiviert ist.
Hier mal ein Beispiel unter iSCSI: https://www.corelan.be/index.php/2007/08/22/connect-to-openfiler-san-usi ...
Bitte warten ..
Mitglied: aqui
02.09.2013 um 19:08 Uhr
Es dreht sich hier NICHT um ein NAS sondern User basierte Port Authentisierung nach dem IEEE 802.1x Standard auf einem LAN Netzwerk Switch:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 19:26 Uhr
Muss ich glatt übersehen haben, Entschuldigung.
Der Auszug vom Log ist vom Client oder Switch oder Server?
Die Konfig vom Switch sieht man hier auch irgendwo?
Die AD Konfig ist entsprechend angepasst?
Sorry aber ich blicke hier nicht durch
Bitte warten ..
Mitglied: aqui
02.09.2013 um 19:36 Uhr
Sieht so nach Winblows Server Log aus aus.... Im o.a. Tutorial findest du eine Beispielkonfig für einen Switch. Dann solltest du auch durchblicken...
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 19:41 Uhr
Nur das ein Beispiel nicht die reale Config zeigt.
Wird wohl aber eher am Server liegen, so aus der Glaskugel geschossen.
Bitte warten ..
Mitglied: aqui
02.09.2013, aktualisiert um 20:10 Uhr
Richtig...ist zu vermuten ! Von den .1x Feature Einschränkungen bei Billigheimer HP mal abgesehen.
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 20:17 Uhr
Es bleiben auch die Einschränkungen die Konfigurationen nicht zu kennen. Ist eine Firewall dazwischen, Port und VLan etc. Da wird es schwer. Vielleicht legt er einen komplett neuen User an und testet mit dem?
Bitte warten ..
Mitglied: gabeBU
03.09.2013, aktualisiert um 10:10 Uhr
Ooookey sorry, da ich schon 2 Fragen geschrieben haben, bin ich nicht mehr in die Details. Mein Fehler

Hier sind die Verbindungsrichtlinieneinstellungen (bei allen Clients identisch):
29a158ec78365404c21cdf6b16502c46 - Klicke auf das Bild, um es zu vergrößern

Und die Netzwerkeinstellungen der Clients (auch bei allen identisch):

Bedingungen
f654fe5f91a24e68113330ee73b04489 - Klicke auf das Bild, um es zu vergrößern

Einschränkungen
4b8ac434fda222b9e75d1eea4d07e47d - Klicke auf das Bild, um es zu vergrößern

Einstellungen
eaa8c3bac68ebcc2ccfd419044e8fdac - Klicke auf das Bild, um es zu vergrößern

aalso hier die Konfiguration des Switches (die ja meiner Meinung nach richtig sein sollte, da ja die Authentifikation funktioniert):
01.
Seite 1: 
02.
Startup configuration: 
03.
 
04.
; J9298A Configuration Editor; Created on release #J.14.01 
05.
 
06.
hostname "UEBSW01" 
07.
ip default-gateway 192.168.210.1 
08.
vlan 1 
09.
   name "DEFAULT_VLAN" 
10.
   untagged 1-10 
11.
   ip address dhcp-bootp 
12.
   exit 
13.
vlan 2 
14.
   name "unauth" 
15.
   no ip address 
16.
   exit 
17.
vlan 3 
18.
   name "auth" 
19.
   ip address dhcp-bootp 
20.
   exit 
21.
aaa authentication port-access eap-radius 
22.
radius-server host 192.168.210.1 key "123" 
23.
snmp-server community "public" Unrestricted 
24.
 
25.
Seite 2: 
26.
snmp-server contact "******" location "****" 
27.
aaa port-access mac-based 7 auth-vid 3 
28.
aaa port-access mac-based 7 unauth-vid 2 
29.
password manager 
30.
 
31.
Authentifikationseinstellungen: 
32.
        | Login      Login      Enable     Enable 
33.
  Access Task | Primary    Secondary  Primary    Secondary 
34.
  ----------- + ---------- ---------- ---------- ---------- 
35.
  Console     | Local      None       Local      None 
36.
  Telnet      | Local      None       Local      None 
37.
  Port-Access | EapRadius  None 
38.
  Webui       | Local      None       Local      None 
39.
  SSH         | Local      None       Local      None 
40.
  Web-Auth    | ChapRadius None 
41.
  MAC-Auth    | ChapRadius None 
42.
 
43.
 
Bei der letzten haut es leider die Formatierung raus. Ich hoffe man kann es imemr noch erkennen (sonst werde ich noch ein Screenshot beilegen, falls erwünscht).
Die AD Config habe ich euch einen Screenshots des Benutzers für meine Virtuelle Maschine beigelegt. Es sind alle gleich konfiguriert (ja, die MAC-Adresse muss mit Strichen getrennt werden, sonst wird der Benutzer nicht gefunden!):

AD-Einstellungen
Allgemein:
d04e40b70be45b203bf391cd0a0a1849 - Klicke auf das Bild, um es zu vergrößern

Konto:
0d25a1c14d5f1ff2dc9b284397f54b34 - Klicke auf das Bild, um es zu vergrößern

Gruppen:
e2ecdf220b84ea9d978f8df01d3a22ce - Klicke auf das Bild, um es zu vergrößern

Gruppenrichtlinienverwaltung:
Übersicht (die RADIUS-Auth ist die dafür vorhergesene GPO):
52cc082c5bb113cff7d4502ed86cb8c9 - Klicke auf das Bild, um es zu vergrößern

Delegierungen :
edeab0b06e8c4176f9cc77f61e404a38 - Klicke auf das Bild, um es zu vergrößern


Und dann die VLAN's. Aalso:

Ich arbeite in meiner Bude daran als Nebenprojekt (als Übung für die Lehrabschlussprüfung). Dafür habe ich ein unabhängiges VLAN erhalten, dass auf einen unserer grossen Switches geschalten ist (sonst lässt der einfach durch) . Der Server zwischen diesem Switch und dem Server liegt der oben genannte (HP ProCurve 2520G-8-PoE), den ich für die RADIUS-Authentifikation entsprechend konfiguriert habe. Auf der "anderen Seite" habe ich nochmals einen kleinen Switch, der auch einfach nur durchlässt. Dort habe ich dann meinen ArbeitsPC verbunden, der mit einer zwegiten Netzwerkkarte augestattet ist. Dort habe ich eine virtuelle Maschine von VMWare, die ich als Übungsclient nutze und ich greife per Remotedesktop auf den Server. Wie ihr oben sehen könnt, habe ich allen Switches und Clients einen Benutzer via MAC-Adresse angelegt.


Edit: Soo, Bilder sind eingefügt. Ich hoffe, ich habe nichts vergessen.
Bitte warten ..
Mitglied: ollioe
03.09.2013 um 10:01 Uhr
Sieht sauber aus.
Hast du, nach den Änderungen, mal testweise das Passwort geändert?
Und dein hier gezeigter User ist kein Domänenuser sondern "nur" in der Sondergruppe...
Bitte warten ..
Mitglied: gabeBU
03.09.2013, aktualisiert um 10:13 Uhr
Das Passwort kann ich leider nicht ändern, da es auch der MAC-Adresse entsprechen muss (siehe MAC-Authentication for ProCurve Switches):
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf

Da steht auch, ich soll den Benutzer nicht in die Gruppe Domänenuser legen. Zudem habe ich noch eine zweite Maschine angelegt, die KEINEN Zugriff haben sollte. Der könnte ich einen Zugriff verschaffen und es erneut testen. Danke für den Tipp.
Bitte warten ..
Mitglied: gabeBU
06.09.2013 um 15:06 Uhr
Ja... genau gleiche Meldung...

Ich habe gelesen, dass es seit Vista keine CHAP-Verschlüsselung mehr gibt. Könnte es echt sein, dass mein Switch so veraltet ist, dass ich mit Win 7 Clients das nicht mehr authentifizieren kann?
Bitte warten ..
Mitglied: aqui
06.09.2013 um 15:52 Uhr
Bei HP Hardware wäre das nicht ungewöhnlich....?! Hast du die aktuellste Firmware auf dem Switch ?
Bitte warten ..
Mitglied: gabeBU
06.09.2013 um 16:10 Uhr
Habe bis jetzt nicht geupdated...gut, aber andererseits, haben wir sonst auch Procurve Switches im Einsatz....

werde ich mal machen.
Bitte warten ..
Mitglied: aqui
06.09.2013 um 18:43 Uhr
Solltest du aber besser mal machen das Firmwareupdate !! Ist eigentlich immer ein sicheres ToDo wenn man in solcherlei Test geht wie jeder Netzwerker weis !
Bitte warten ..
Mitglied: gabeBU
09.09.2013, aktualisiert um 11:37 Uhr
Gut, Firmware ist upgedatet: https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kurz ein TFTP gestartet und darüber gehosted. Schint auch geklappt zu haben.

Bin jetzt schon ein grosses Stück weitergekommen. Alle Clients ausser der virtuellen Maschine selbst werden nun authentifiziert und akzeptiert.

Ich teste gerade, ob es mit der zusätzlichen Verschlüsselung "EAP" und nicht nur "EAP-MSCHAP v2" funktioniert.
Bitte warten ..
Mitglied: aqui
10.09.2013 um 12:39 Uhr
Klingt ja vielversprechend.... Obwohl bei Billigheimer HP weiss man nie ?!
Bitte warten ..
Mitglied: gabeBU
10.09.2013 um 13:16 Uhr
Hmm nein es liegt nicht daran...die Konfiguration habe ich bisher nicht verstanden ich blende nochmals die Ausgabe ein:
01.
31. 
02.
 
03.
Authentifikationseinstellungen:  
04.
 
05.
32. 
06.
 
07.
        | Login      Login      Enable     Enable  
08.
 
09.
33. 
10.
 
11.
  Access Task | Primary    Secondary  Primary    Secondary  
12.
 
13.
34. 
14.
 
15.
  ----------- + ---------- ---------- ---------- ----------  
16.
 
17.
35. 
18.
 
19.
  Console     | Local      None       Local      None  
20.
 
21.
36. 
22.
 
23.
  Telnet      | Local      None       Local      None  
24.
 
25.
37. 
26.
 
27.
  Port-Access | EapRadius  None  
28.
 
29.
38. 
30.
 
31.
  Webui       | Local      None       Local      None  
32.
 
33.
39. 
34.
 
35.
  SSH         | Local      None       Local      None  
36.
 
37.
40. 
38.
 
39.
  Web-Auth    | ChapRadius None  
40.
 
41.
41. 
42.
 
43.
  MAC-Auth    | ChapRadius None 
Bei der MAC-Authentifikation habe ich nun auch PEAP einstellen können (bin nochmals über die Bücher, die Syntax im Handbuch war falsch... naja, ging jetzt) und es funktioniert immer noch nicht. Wenn ich mir aber das Handbuch "MAC-Authentification for Procurve Switches" ansehe, wird da ein Port-Access definiert, der mit einer MAC-Authentifikation konfiguriert wird und hat somit nichts mit der MAC-Auth zu tun. Das heisst, es liegt auch nicht daran.


*seeufz*.
Bitte warten ..
Mitglied: gabeBU
10.09.2013 um 15:55 Uhr
Ok jetzt wird's richtig witzig:

Wenn ich die MAC-Auth auf EAP stelle, dann sagt Microsoft, es könne diese Art von EAP nicht entschlüsseln. Wenn ich auf CHAP stelle behauptet es, dass ich die Rückwärtsverschlüsselung nicht aktiviert habe.

Ich würde mal sagen, ab diesem Moment kann ich wohl langsam aufgeben...es ist wohl einfach so, dass dieser Switch veraltet ist und die Verschlüsselung nicht mehr auf einem 2008 übertragen werden kann.
Bitte warten ..
Mitglied: aqui
10.09.2013 um 17:08 Uhr
Das ist dann in der Tat zu befürchten. Ist das Switchmodel noch unter Support oder schon "End of Life" ?
Ansonsten bringt es ggf. dort einen Bugreport bei HP zu öffnen. Macht aber nur Sinn wenn du noch Wartung auf der Switch Gurke hast.
Hast du diese Security Settings parallel mit einem anderen Switchprodukt (alternativer Hersteller) getestet wo das nachweisslich supportet ist ?
Bitte warten ..
Mitglied: gabeBU
11.09.2013 um 15:21 Uhr
Muss ich zuerst bei cheffe nachfragen, ob ich einen anderen Switch nutzen darf. Der Switch müsste eigentlich noch support haben, ich habe alles an Dokumentation , Firmware etc. gefunden und man kann ihn auch gut auf HP suchen. Der hat bestimmt auch noch Wartung, da wir diese Anfang dieses Jahre erhalten haben.

Dann werde ich mich wohl mit dem HP-Support durchschlagen müssen *seufz*
Bitte warten ..
Mitglied: gabeBU
17.09.2013 um 15:03 Uhr
So! Neustart!

Habe jetzt direkt ein Laptop dran mit Windows 7 ohne Switch dazwischen! Das heisst auch, dass keine anderen MAC-Adressen mehr reinfunken!

Leider kriege ich jetzt komischerweise (und das erst seitdem) Meldungen, dass der Benutzername falsch sei:

01.
Protokollname: Security 
02.
Quelle:        Microsoft-Windows-Security-Auditing 
03.
Datum:         17.09.2013 13:22:57 
04.
Ereignis-ID:   6273 
05.
Aufgabenkategorie:Netzwerkrichtlinienserver 
06.
Ebene:         Informationen 
07.
Schlüsselwörter:Überwachung gescheitert 
08.
Benutzer:      Nicht zutreffend 
09.
Computer:      UEBSRV.ueb.lokal 
10.
Beschreibung: 
11.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. 
12.
 
13.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. 
14.
 
15.
Benutzer: 
16.
	Sicherheits-ID:			S-1-0-0 
17.
	Kontoname:				009c021b1458 
18.
	Kontodomäne:				UEB 
19.
	Vollqualifizierter Kontoname:		UEB\00-9c-02-1b-14-58 
20.
 
21.
Clientcomputer: 
22.
	Sicherheits-ID:			S-1-0-0 
23.
	Kontoname:				- 
24.
	Vollqualifizierter Kontoname:		- 
25.
	Betriebssystemversion:			- 
26.
	Empfänger-ID:				84-34-97-43-5f-9b 
27.
	Anrufer-ID:				00-9c-02-1b-14-58 
28.
 
29.
NAS: 
30.
	NAS-IPv4-Adresse:			192.168.210.51 
31.
	NAS-IPv6-Adresse:			- 
32.
	NAS-ID:					UEBSW01 
33.
	NAS-Porttyp:				Ethernet 
34.
	NAS-Port:				5 
35.
 
36.
RADIUS-Client: 
37.
	Clientanzeigenname:				UEBSW01 
38.
	Client-IP-Adresse:			192.168.210.51 
39.
 
40.
Authentifizierungsdetails: 
41.
	Name der Verbindungsanforderungsrichtlinie:	Port 5 
42.
	Netzwerkrichtlinienname:		- 
43.
	Authentifizierungsanbieter:		Windows 
44.
	Authentifizierungsserver:		UEBSRV.ueb.lokal 
45.
	Authentifizierungstyp:		MD5-CHAP 
46.
	EAP-Typ:			- 
47.
	Kontositzungs-ID:		- 
48.
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
49.
	Ursachencode:			16 
50.
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch. 
51.
 
52.
Ereignis-XML: 
53.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
54.
  <System> 
55.
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
56.
    <EventID>6273</EventID> 
57.
    <Version>1</Version> 
58.
    <Level>0</Level> 
59.
    <Task>12552</Task> 
60.
    <Opcode>0</Opcode> 
61.
    <Keywords>0x8010000000000000</Keywords> 
62.
    <TimeCreated SystemTime="2013-09-17T11:22:57.750000000Z" /> 
63.
    <EventRecordID>1640418</EventRecordID> 
64.
    <Correlation /> 
65.
    <Execution ProcessID="500" ThreadID="488" /> 
66.
    <Channel>Security</Channel> 
67.
    <Computer>UEBSRV.ueb.lokal</Computer> 
68.
    <Security /> 
69.
  </System> 
70.
  <EventData> 
71.
    <Data Name="SubjectUserSid">S-1-0-0</Data> 
72.
    <Data Name="SubjectUserName">009c021b1458</Data> 
73.
    <Data Name="SubjectDomainName">UEB</Data> 
74.
    <Data Name="FullyQualifiedSubjectUserName">UEB\00-9c-02-1b-14-58</Data> 
75.
    <Data Name="SubjectMachineSID">S-1-0-0</Data> 
76.
    <Data Name="SubjectMachineName">-</Data> 
77.
    <Data Name="FullyQualifiedSubjectMachineName">-</Data> 
78.
    <Data Name="MachineInventory">-</Data> 
79.
    <Data Name="CalledStationID">84-34-97-43-5f-9b</Data> 
80.
    <Data Name="CallingStationID">00-9c-02-1b-14-58</Data> 
81.
    <Data Name="NASIPv4Address">192.168.210.51</Data> 
82.
    <Data Name="NASIPv6Address">-</Data> 
83.
    <Data Name="NASIdentifier">UEBSW01</Data> 
84.
    <Data Name="NASPortType">Ethernet</Data> 
85.
    <Data Name="NASPort">5</Data> 
86.
    <Data Name="ClientName">UEBSW01</Data> 
87.
    <Data Name="ClientIPAddress">192.168.210.51</Data> 
88.
    <Data Name="ProxyPolicyName">Port 5</Data> 
89.
    <Data Name="NetworkPolicyName">-</Data> 
90.
    <Data Name="AuthenticationProvider">Windows</Data> 
91.
    <Data Name="AuthenticationServer">UEBSRV.ueb.lokal</Data> 
92.
    <Data Name="AuthenticationType">MD5-CHAP</Data> 
93.
    <Data Name="EAPType">-</Data> 
94.
    <Data Name="AccountSessionIdentifier">-</Data> 
95.
    <Data Name="ReasonCode">16</Data> 
96.
    <Data Name="Reason">Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.</Data> 
97.
    <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data> 
98.
  </EventData> 
99.
</Event> 
100.
 
Regeln sind natürlich gleich gesetzt. Was mir aber auffällt, ist, dass als Kontoname die MAC-Adresse immer ohne Trennungsstriche gespeichert wird (egal ob ich ihn mit oder ohne Trennungsstrich abspeichere). Kann ich da was dagegen tun / bzw. könnte das der Fehler sein?
Bitte warten ..
Mitglied: gabeBU
19.09.2013 um 17:36 Uhr
SO! Jetzt habe ich es WIRKLICH WIRKLICH geschafft!

ICh musste als Tunnel-ID VLAN angeben. Dann klappte die Authentifikation endlich.
Bitte warten ..
Mitglied: aqui
19.09.2013 um 19:21 Uhr
War ja eine schwere Geburt !! Aber klasse das es jetzt klappt !!

Vielleicht kannst du hier nochmal die vollständig korrekte Konfig posten, damit dann andere was von diesem Forumsthread haben und das Rad nicht 2mal erfinden müssen !
Ggf. kann man die auch mit ins Tutorial übernehmen.
Bitte warten ..
Mitglied: gabeBU
24.09.2013, aktualisiert 25.09.2013
ööhm würde ich gerne, nur habe ich einmal den Switch neugestartet und der Switch erkannte die MAC-Adresse nicht mehr...

zudem musste ich eine Regel erstellen, dass die MAC-Adresse richtig umgewandelt wurde. Weil das für den Betrieb natürlich nicht brauchbar ist, habe ich die entfernt und dann funktioniert die Authentifikation nicht mehr.

Aber nächste Woche sieht der höhere Support mein Projekt an. Falls sie eine Lösung finden, werde ich die Konfig gerne Posten :3
Bitte warten ..
Mitglied: aqui
25.09.2013 um 10:26 Uhr
Na da sind wir dann mal ganz gespannt was der "höhere Support" dann sagt ?!
Bitte warten ..
Mitglied: gabeBU
14.10.2013 um 15:59 Uhr
Jau der Second Level (habe ich damit gemeint) hat sich die Thematik angesehen und mir gesagt, ich soll mir die MAC-Adress-Benutzer ansehen. Wir haben testweise versucht, uns mit den "MAC-Adress"-Benutzern anzumelden und es ging uuunglaublich lange (ca. 15 Minuten). ALso muss ich mich da mal genauer einlesen.
Bitte warten ..
Mitglied: aqui
15.10.2013 um 09:03 Uhr
Ääähhh was bitte meinen diese "Experten" denn mit dem Begriff "die MAC-Adress-Benutzer" genau ??
Mac Adressen sind Mac Adressen und haben mit Benutzern nicht das geringste zu tun ??
Na ja das ist eben die fachkundige HP Hotline...oder besser HP live !
Hat schon einen Grund warum die lieber Server bauen sollten und die Finger von Netzwerken lassen sollten....
Bitte warten ..
Mitglied: gabeBU
15.10.2013 um 09:20 Uhr
Nee nee hör' zu:

Das waren nicht die von HP, das war der Second Level von unserem Betrieb. Ich habe mich falsch ausgedrückt:

Bei HP-Switches muss man ja laut Handbuch im Active Directory für jeden Benutzer eine MAC-Adresse anlegen. Das habe ich damit gemeint.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2008 R2 mit 2 DHCP, 1 MAC-Filter (11)

Frage von Nathenn zum Thema Windows Netzwerk ...

Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Windows Server
Windows Server 2008 R2 Aero-Design auf Remote Desktop geht nicht (3)

Frage von Motherboard33 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...