Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Radius mit W2k8R2

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Proloader

Proloader (Level 1) - Jetzt verbinden

24.05.2012, aktualisiert 16:58 Uhr, 7315 Aufrufe, 12 Kommentare

WLAN Auth über Netzwerk mit MS Windows Server 2008 R2

Hallo zusammen,

Ich habe schon xx Beiträge gelesen und googlet werde leider mit meinem Problem nicht fertig.

Folgender Aufbau

WLAN AP ----- Server 2008 R2

Was ich erreichen möchte dass man sich nur mit Domain Username und PW anmleden muss ohne ein Cert auf dem Endgerät.

Die Verbindung Server und AP geht. Es kommt folgende Meldung:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: mode\test.user
Kontoname: test.user
Kontodomäne: mode
Vollqualifizierter Kontoname: mode\test.user

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-1A-8C-0E-46-A1:yx_Secure
Anrufer-ID: 70-F3-95-E2-FE-70

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: yx_Secure
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1

RADIUS-Client:
Clientanzeigenname: yx
Client-IP-Adresse: 192.168.0.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: yx_WLAN
Netzwerkrichtlinienname: RRS_WLAN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: mode.int
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.

Oder Fehler unten auf dem Bild wenn ich die konfigs lade wie auf den Pics:

69c4fda4246af77404201aff03d677a3 - Klicke auf das Bild, um es zu vergrößern


Bilder zur konfig.

3a2ea9d9d8983ffab4081b4a261a0ed0 - Klicke auf das Bild, um es zu vergrößern
0d4132ea559f16daad720ae481e27b8d - Klicke auf das Bild, um es zu vergrößern
09801cf03e5a5848039279c034ac90fa - Klicke auf das Bild, um es zu vergrößern
3448d821d509bc4f85e5c7ceedade5e6 - Klicke auf das Bild, um es zu vergrößern
8e59a56b35c7987fd589d81737c999d5 - Klicke auf das Bild, um es zu vergrößern
fe64cc3980b4704eedeeae4c99d41ea4 - Klicke auf das Bild, um es zu vergrößern
589eab5825f632fb616b936e17403cdd - Klicke auf das Bild, um es zu vergrößern
48348f54ca3d6d4509115c3cd9487f1f - Klicke auf das Bild, um es zu vergrößern
6562aed441f7ae060e62efdb95c09327 - Klicke auf das Bild, um es zu vergrößern
a5508318bd4439f5d486123ce5a6221b - Klicke auf das Bild, um es zu vergrößern
ee5ea8dc36b0d5c6438ae937fe952fb0 - Klicke auf das Bild, um es zu vergrößern
69c4fda4246af77404201aff03d677a3 - Klicke auf das Bild, um es zu vergrößern


Diagnose: Es liegt am Server, Cert Problem. Wieso ein Cert? Ich tauschen Daten Server und AP mit einem Kennwort aus.

Bin froh wenn mich jemand aufklären kann.





Muss man das Cert über den Webdienst auf nich Dom Client ausrollen:

54bac267eacca234ef83a7f63dd65496 - Klicke auf das Bild, um es zu vergrößern
Mitglied: clSchak
24.05.2012 um 15:56 Uhr
Weil die Verbindung verschlüsselt wird ... darum benötigt der auch ein Cert oder willst du Passwörter ohne Verschlüsselung durch's Netz jagen?

Und das entsprechende Zertifikat kannst einfach per GPO ausrollen, so bekommen es auch alle die es benötigen, achte aber darauf, dass es auch das Zertifikat ist was du bei dem Radius Server verwendest.

Am einfachsten ist es, wenn du das über die Domänen-Zertifizierungsstelle ausstellst.
Bitte warten ..
Mitglied: Proloader
24.05.2012 um 16:30 Uhr
Das würde heissen dass nur noch ein Cert auf dem Client fehlt?

Es sind nicht alle Endgeräte in der Dom. Iphone usw...

Wie kann ich das Cert ausrollen? Webdienst?

Danke für deine Hilfe.

Ich hörte es gibt die möglichkeit nur username und PW ohne cert.

--> Das Cert einfach einfügen beim Client oder muss man da auch noch was beachten oder einstellen auf dem Endgerät?
Bitte warten ..
Mitglied: Proloader
24.05.2012 um 17:00 Uhr
Ausrollen über webdienst wie oben angefügt?
Bitte warten ..
Mitglied: clSchak
24.05.2012 um 18:55 Uhr
öhm per GPO einfach verteilen, Domänenfremde Geräte habe wir bei uns nicht eingebunden ins Standard-WLAN, iPhones und der gesamte Rest sind in einem separaten WLAN bei uns - ebenso die Motorola Handscanner, auch in einem anderem WLAN mit einer höheren Prio weil die Vorrang vor allen anderen haben sollen.
Bitte warten ..
Mitglied: Proloader
24.05.2012 um 20:16 Uhr
Das heisst es liegt jetzt nur noch am Cert. auf dem Client?

Server -- AP verb. OK laut Protokoll.
Bitte warten ..
Mitglied: aqui
25.05.2012 um 11:09 Uhr
Der Radius Server selber muss ein Zertifikat haben was die .1x Client verifiziert. Ohne das wäre deinen Radius basierte Authentisierung völliger Unsinn, denn sonst könnte man dir jeden x-beliebigen Server unterscheben zur Authentisierung.
Grundlagen dazu siehe hier:
http://www.administrator.de/contentid/142241
Der Client prüft also nur ob der Radius (sprich NPS bei Winblows) auch der richtige ist den er nach dem User fragt.
Danach kannst du ganz normal mit Username/Passwort aus der AD weitermachen.
Der NPS hat einen Wizzard für Wireless netzwerke den man eigentlich nur folgen muss.
Bedenke das der AP den Radius (IP) als Authentisierung eingetragen haben muss ! (Tutorial)
Bitte warten ..
Mitglied: Proloader
25.05.2012 um 11:36 Uhr
Hi Aqui

Deine Anleitung ist super

Die habe ich ganz am Anfang gelesen. De den Assist. habe ich auch durch alles ohne Probleme.

Versuche jetzt das Cert per Webdienst auf den Client zu inst. Habe alles schon konf. muss noch testen.

Den zusammenhang des Cert sehe ich einfach noch nicht so ganz.

Mein Aufbau:

Client --> AP (von Astaro) ----> ASG220 ---> W2k8R2

Wie das Cert zum Server kommt, da blick ich troz Anleitung nicht durch.

Danke für helfende Worte.
Bitte warten ..
Mitglied: aqui
25.05.2012, aktualisiert um 11:40 Uhr
Was ist denn ein ASG220 ?? Aber egal..
Du machst hier einen Denkfehler ! Der Radius Server, sprich NPS, muss hier zertifiziert werden und das Radius Zertifikat dann auf den Client gebracht werden. Nicht andersrum !!
Steht auch so genau im Tutorial. Zwar für FreeRadius aber das Prozedere ist natürlich bei Winblows identisch !
Bitte warten ..
Mitglied: Proloader
25.05.2012 um 15:34 Uhr
Wurde fündig:

https://support.astaro.com/support/index.php/Astaro_Wireless_and_Radius_ ...

Leider verstehe ich in dieser Situation das mit den Certs. noch nicht da der Radius mit dem AP keinen kontakt hat.
Bitte warten ..
Mitglied: Proloader
25.05.2012 um 18:47 Uhr
Mit dem Iphone geht es super.

Suchen Anmelden cert bestätigen und los geht.

Mit Windows 7 geht nix............. lachhafter scheiss! spricht nicht für Win
Bitte warten ..
Mitglied: aqui
25.05.2012, aktualisiert 27.05.2012
Äääähhh.....da machst du einen gehörigen Denkfehler !! Der AP muss zwingend Kontakt mit dem Radius haben. Das ist der Sinn der ganzen Sache denn genau dort wird im Setup zur Authentisierung das ja auch eingetragen.
Das ist unmöglich das es mit dem iPhone klappt, dann ist das keinen .1x bzw. Radius basierte Authentisierung !
Das geht nur wenn der AP den Radius konfiguriert hat (IP).
Steht ja auch haarklein so erklärt im Tutorial....und tausend anderen Dokumenten im Netz wie den zitierten ct Artikeln im Tutorial Thread.
Das rennt also gehörig was schief bei dir !!
Bitte warten ..
Mitglied: clSchak
25.05.2012 um 23:19 Uhr
oder gegen deine Settings - was sollte das bringen wenn man das WLAN auswählt und lediglich ein Cert bestätigen muss bei der ersten Anmedung - eigentlich muss man das von Hand/GPO in dem "Vertraute. Stammzertifizierungsstelle"-Speicher reinschieben damit es geht ... und nicht am Client irgendwas bestätigen - das könnt ja dann jeder machen ...
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
Nicht Domänencomputer verkabelt und NPS (und WLAN RADIUS)

Frage von derLenhart zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Laptop über WLAN anmelden mit RADIUS im active directory (2)

Frage von tobivan zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...