Jump to content

Radius Fragen Win7


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hab ein Phänomen das ich nicht ganz verstehe und vielleicht hat jemand eine Idee, Erklärung oder Artikel für mich.

 

Ich habe einen 2012 R2 Radius Server der Mitglieder einer Domäne ist und  zur WLAN Absicherung dienst, es läuft alles wunderbar bis auf eine Netzwerkrichtlinie wo ein Windows 7 User sich nicht erfolgreich authentifizieren kann aber ein Win8.1 oder sogar Win10 Rechner schon.

 

Die Clients sind alle nicht in der Domäne da es ja Gästeclients sind.

 

Damit es erfolgreich ist muss der User in einer bestimmten Gruppe sein und Nas-Porttyp IEE802.11 sowie als Authentifzierungsmethode

Microsoft : Geschütztes EAP und unten MS-CHAPv2  als einziges

 

Ein Windows 7 Client, warum auch immer liefert auf dem Server folgenden Grund

Netzwerkrichtlinienname: Gäste-Richtlinie

Authentifizierungsanbieter: Windows

Authentifizierungsserver: srvradius.domäne.lokal

Authentifizierungstyp: PEAP

EAP-Typ: -

Kontositzungs-ID: -

Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Ursachencode: 265

Ursache: Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

 

Bekannte Lösung:

Es gibt eine Lösung die wie folgt in einem Artikel beschrieben ist, https://kb.meraki.com/knowledge_base/radius-using-certificates-with-ieee-8021x-authentication 

 

disable the validation of server certificates in Windows 7:

  1. Navigate to Control Panel > Network and Sharing Center > Manage wireless networks.
    Note: If presented with different options, switch from View by Categories to either small or large icons.
  2. Right-click the network in question and choose Properties.
  3. On the Security tab, click Settings.
  4. Along the top, uncheck the box for Validate server certificate.
    Note: This should only be done if the certificate is known and trusted.

Die funktioniert auch soweit aber ich hätte gern das meine Gäste nicht sich das Netzwerk manuell einrichten müssen insbesondere weil

es ja mit Win8.1 und Win10 funktioniert ohne diese Schritte. Was muss ich im Radius noch einstellen das es klappt oder was habe ich nicht

verstanden?

 

Gruß

 

Coolace

 

 

 

Link zu diesem Kommentar

Das Problem mit Gastgeräten ist, dass Du nie vorhersehen kannst, was für ein Gerät in welcher Konfiguration, mit welcher Sicherheitssoftware, mit welchen Tuning Tools usw. ins Netz möchte. Du kannst nur auf Deiner Seite die Stör- bzw. Fehlerquellen minimieren.

Ein SSL Zertifikat gibt es schon für ein paar Euro und Du sparst Dir jede Menge Kopfschmerzen und Diskussionen mit den Gästen.

Link zu diesem Kommentar

Guten Morgen

 

erstmal vielen Dank für die zahlreiche Unterstützung. Das mit den Lizenzen habe ich berücksichtigt da ich vor 1 Woche Ihren Beitrag gelesen habe und

wahrscheinlich wie einige andere auch überrascht waren, aber man lernt nie aus. 

 

Wenn ich das mit den Zertifikaten richtig im Kopf habe so müsste ich den Namen im Alternativen Antragssteller Bereich eintragen ? 

Wo im Radius Server müsste ich das Zertifikat dann einbinden ?

 

Gruß

 

Coolace

Link zu diesem Kommentar

Guten Morgen,

 

vielen Dank, ich habe es ausprobiert und es funktioniert leider nicht :-(  

Ich erhalte folgende Fehlermeldung. Der Client ist ein Win7 Professional Client wo nur die Windows 7 CD eingelegt worden ist und einmal die Installation durchgelaufen

ist, es wurde nichts sonst installiert, keine Patche oder Software oder sonstiges, eine absolute Grundinstallation.

 

Am Radiusserver gibt es eine einzige Netzwerkrichtlinie, mehr nicht. In der ist als Authentifzierungsmethode folgendes eingestellt:

Microsoft: Geschützes EAP(PEAP)  --> public Zertifikat mit *.Domäne.com ausgewählt nicht Radiusserver PKI

zusätzliche Haken bei MS-CHAP-v2 und MS-CHAP

 

Es kommt am Radius Server folgender Fehler

Authentifizierungstyp: EAP

EAP-Typ: -

Kontositzungs-ID: -

Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.

Ursachencode: 22

Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.

 

Was habe ich übersehen oder hab ich einen Verständnisfehler ?

 

Gruß

 

Coolace

Link zu diesem Kommentar

Nach welcher Anleitung gehst DU eigentlich bei der Konfiguration vor? Click & Try? ;-)

 

Ist das Zertifikat denn von einer CA, der Windows 7 vertraut? Ist das Zertifikat zusammen mit eventuell notwendigen Intermediate Certificates korrekt auf dem Server im Personal Certificate Store installiert? Verfügt das Zertifikat über die richtigen Einträge (Antragstellername enthält einen Wert, ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet, besteht alle Überprüfungen, die von der CryptoAPI-Funktion ausgeführt werden und in der RAS-Richtlinie angegeben sind, hat EKU-Erweiterungen (Extended Key Usage, erweiterte Schlüsselverwendung) mit dem Zweck Serverauthentifizierung konfiguriert, etc.)?

 

Probier erst mal das Zertifikat auf einer Webseite auf dem Server aus. Kann der Client diese Seite ohne Fehlermeldung im Browser öffnen?

 

Siehe dazu auch Zertifikatanforderungen für PEAP und EAP, Prüfliste: Konfigurieren des Netzwerkrichtlinienservers für den sicheren Drahtloszugriff, IEEE 802.11 Wireless LAN Security with Microsoft Windows und Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab. Ich hatte für frühere Windows-Versionen das mal als TechNet Webcast: Drahtlose Netzwerke absichern mit Windows Server 2003 - WLAN-Sicherheit mit Windows-Bordmitteln (Level 300) (2005-11-24) gezeigt. Vieles von dem ist heute noch gültig, da die Technologien dahinter die gleichen sind: http://blogs.technet.com/b/dmelanchthon/archive/2005/11/24/heutiger-webcast-zum-wireless-lan-security.aspx

 

Have fun!
Daniel

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...