2K8R2 - WLAN für nicht Domänen Mitglieder über Radius

[RBurghart]

Hallo zusammen,

ich hoffe jemand kann helfen bei dem folgenden Problem:

Innerhalb eines Domänennetzwerkes (Windows Server 2008 und 2008R2) besteht der Wunsch, dass auch Computer, die nicht Domänenmitglieder sind, den Internetzugang der Domäne über WLAN nutzen können.
Wir sind den Weg gegangen, das Ganze über den Radiusserver (installiert auf dem 2008R2) abzuwicklen. Benutzer mit einem Notebook (oder anderem Equipment, wie z.B. iPhone, iPad etc) bekommen nach Installation des Zertifikats und entsprechender Konfiguration auf dem jeweiligen Zielsystem eine Anmeldemaske, in der ein gültiger Username der Domäne, das dazugehörige Passwort und der Domänenname eingegeben werden muss.

Ein Zertifikat wurde erstellt und auf den Testclients installiert.
Der Radius-Server wurde eingerichtet.
Der Access-Point (Netgear WG302V2) wurde konfiguriert.
Die Test-Notebooks wurden konfiguriert.
WLAN-Eigenschaften für die drahtlose Netzwerkverbindung: Netzwerkauthentifizierung: WPA2, Datenverschlüsselung: AES,
Authentifizierung: EAP-Typ: Geschütztes EAP (PEAP), Authentifizierungsmethode: Sicheres Kennwort (EAP-MSCHAP v2)

Tests wurden erfolgreich durchgeführt (mit Windows Notebooks, XP, das ist die Majorität und W7).
Das Ganze wurde allerdings zu diesem Zeitpunkt noch nicht "scharfgeschaltet", weil vorab einige weitere und andere Arbeiten durchgeführt werden mussten. Darüber verging dann auch mehr Zeit, als vorgesehen (besser ca. 4 Monate).

Jetzt sollte die Installation schließlich durchgeführt werden. Auf Grund gemachter Erfahrungen haben wir dann die Testumgebung wieder aufgebaut um einen abschließenden Test durchzuführen. Erwähnen möchte ich noch, dass in der Zwischenzeit an der Konfiguration definitiv nichts verändert wurde.
Ergebnis: nicht funktioniert mehr. Zwar unterhält sich der AP noch immer mit dem Server über Verbindungswünsche von Clients, diese werden vom Server aber alle zurückgewiesen. Der AP protokolliert folgendes: authentication server rejected EAP authentiation.
Das Zertifikat hat eine Gültigkeit bis 2016!

Hat irgend jemand eine Idee, wo man ansetzen könnte/sollte, um das Ganze wieder ans Fliegen zu bringen? Kann sich an dem Zertifikat z.B. etwas geändert haben, so dass diese nicht mehr identisch sind?

Vielen Dank schon mal im Voraus!!!
Weitere Details werde ich bei Nachfrage gerne zur Verfügung stellen.

Ralf

[Nightwalker_z]

Was mich stutzig macht sind folgende Statements:

Ein Zertifikat wurde erstellt und auf den Testclients installiert.

und

Authentifizierung: EAP-Typ: Geschütztes EAP (PEAP), Authentifizierungsmethode: Sicheres Kennwort (EAP-MSCHAP v2)

Das passt irgendwie nicht zusammen. Für PEAP mit Inner Method MSCHAPv2 braucht man keine Clientzertifikate. Das Einzige was wichtig ist, dass der RADIUS Server ein Zertifikat hat.
Mit PEAP (MSChap) verwenden Windows Clients oft per Default das Maschinenkonto (falls Domäne) oder die Credentials des angemeldeten Users.

Vielleicht helfen diese kleinen Hinweise ja schon weiter!

[RBurghart]

Vielen Dank für den Hinweis. Wir haben uns bei der Einrichtung an Beschreibungen gehalten, die auch im Internet vorhanden sind - und nach der Einrichtung ging ja ursprünglich auch alles.

Die Verwendung eines Clientkontos kann man bei der Konfiguration des Clients aber explizit ausschalten (wie auch die Verwendung des Gastkontos). Ein Clientkonto würde ja auch bei den "Fremdclients" keinen Sinn machen. Trotzdem ist diese Methode zu favorisieren, da eine weitere kleinere "Hürde" aufgebaut wird. Sonst könnte sich jemand, der zufällig die Kennung und das Passwort eines Domänenusers hat mit einem x-beliebigen Notebook in das Netz wählen und könnte es nutzen (rechtliche Probleme!!). Bei dem gewählten Verfahren m u s s er über das Zertifikat verfügen.

Die Protokolle geben an, dass explizit die Anmeldung (die aber korrekt durchgeführt wird) des Benutzers zurückgewiesen wird. Man soll die EAP-Protokolle checken, welche wir aber nicht finden können. Im Netz findet man auch keine konkreten Hinweise, wo die zu finden sind. Weiss jemand, wo die stehen???

Wir haben zwischenzeitlich auch den Radius deinstalliert und neu installiert. Dabei wurde dann auch ein neues Zertifikat erstellt, das wir dann auf den Clients neu installiert haben (altes raus, neues rein). Leider war das Ergebnis danach das Gleiche.

Die Frage ist wirklich, warum das nach der Basisinstallation funktionierte und einige Zeit später (ohne weitere Änderungen) plötzlich gar nicht mehr.

Vielleicht hat ja doch jemand eine Idee oder einen Hinweis, in welcher Richtung zu suchen wäre.

[Nightwalker_z]

Warum es damals funktionierte und jetzt nicht mehr ist doch Glaskugelleserei :-D
Trotzdem noch einmal:
Wenn man PEAP verwendet, braucht man nur ein Zertifikat auf dem RADIUS Server (Serverzertifikat). Die Clients melden sich mit Username/Password an.

Wenn die Clients aber die Option aktiviert haben, dass sie das Serverzertifikat überprüfen müssen, brauchen die Clients natürlich das CA Zertifikat.
Arbeitet ihr mit einer PKI oder erstellt ihr einfach Self-Signed Zertifikate am RADIUS Server?

Bitte einfach mal versuchen die Option "Serverzertifikat überprüfen" am Clients auszuknipsen und dann schauen ob es geht. In einer Produktivumgebung würde ich dieses Setting aber nicht empfehlen!