Pitt84

Tunneled Transport Layer Protokoll..... vermeidet Client Zertifikate Kommunikation durch sicheren Tunnel keine PKI nötig sicherste und flexibelste Lösung Protokoll noch nicht standardisiert (Nachteil) Authentifizierung geht über PAP (Nachteil von PAP wird durch sicheren Tunnel umgangen) Server muss dem CLient sein Zertifikat schicken für heterogene Systeme geeignet Hört sich eigentlich gut an, aber ich habe es auch vorher noch nicht gehört. Gruß

Aber Windows XP scheint es nicht anzubieten (TTLS). Zumindestens kann man es nicht wählen. Vielleicht weil TTLS noch nicht standardisiert wurde.?! Gruß

Ja es läuft über CHAP. Es hat vorher aber überhaupt nicht funktioniert, weder über CHAP noch über EAP. EAP werde ich vielleicht implementieren müssen, es kommt drauf an, ob ein Zertifikatsserver vorhanden ist. Ansonsten kann ich ja auch EAP-TTLS benutzen oder? Die Frage ist allerdings, ob der Switch das alles auseinanderhalten kann. Er gibt mir ja nur die Möglichkeit zwischen CHAP und EAP zu wählen. Welche Methoden EAP letztendlich enthält, weiß ich nicht. Gruß

So....ich habe die Kennwortrichtlinie aktiviert, sodass er nun Kennwörter für alle Domainbenutzer mit umkehrbarer Verschlüsselung speichert. Dann habe ich den Server neu gestartet und mich als Admin angemeldet. Das Adminkennwort habe ich geändert und mich nochmals neu ab und angemeldet als Admin. Nun habe ich den Client wieder an den 802.1x Port des Switches angeschlossen und mich als Admin an der Domäne angemeldet über 802.1x und siehe da... es funktioniert. Auch Wireshark zeigt das ersehnte RADIUS Access-Accept Paket an und auch der DHCP Verkehr nach erfolgreicher Authentifizierung wurde durchgeführt. Ich weiß nicht, wie ich Dir danken soll....das ist der hammer. Vielen Dank!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Wenn Du mal Hilfe brauchst und ich Dir weiterhelfen kann, schreib mich einfach an. P.S.: Trotzdem verstehe ich die Richtlinie mit den umkehrbaren verschlüsselten Kennwörtern nicht. Kannst Du das kurz erläutern? Gruß, Pitt

Also ich habe gerade mal die Verschlüsselungsprotokolle nochmals umgestellt. Auf dem Client habe ich MD5-Challenge und auf dem Switch Chap-radius eingestellt. Jetzt sehe ich im Wireshakr, dass ein Request Paket gesendet wird und ein Reject Paket zurückgesendet wird vom RADIUS Server. Er scheint zumindestens zu antworten. Chap-Radius auf dem Switch beinhaltet wohl MD5-Challenge. In der Ereignisanzeige unter System wird bei jedem Anmeldeversuch (nachdem ich das Verschlüsselungsprotokoll auf dem Switch auf Chap geändert habe) folgender Eintrag gemacht: Warnung: Benutzer "PROJEKT\Administrator" wurde Zugriff verweigert. Vollqualifizierter Benutzername = PROJEKT\Administrator NAS-IP-Adresse = 192.168.1.1 NAS-Kennung = HP ProCurve Switch 5308xl Kennung der Anrufstation = 00-11-85-08-8b-00 Kennung der Empfängerstation = 00-17-31-fa-1c-8f Clientanzeigename = HP Procurve 5300xl Client-IP-Adresse = 192.168.1.1 NAS-Porttyp = Ethernet NAS-Port = 11 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierungsserver = <unbestimmt> Richtlinien-Name = <unbestimmt> Authentifizierungstyp = MD5-CHAP EAP-Typ = <unbestimmt> Code = 19 Ursache = Der Benutzer konnte nicht durch das Challenge-Handshake Authentication-Protokoll (CHAP) authentifiziert werden. Für dieses Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort vorhanden. Überprüfen Sie die Kennwortrichtlinie der Domäne bzw. die Kennworteinstellungen des Benutzerkontos, um sicherzustellen, dass umkehrbar verschlüsselte Kennwörter aktiviert sind. Vor der Änderung auf Chap-RADIUS: Fehler: Zugriffsanforderung für Benutzer "test" wurde gelöscht. Vollqualifizierter Benutzername = projekt.local/Users/Test Test NAS-IP-Adresse = 192.168.1.1 NAS-Kennung = HP ProCurve Switch 5308xl ID der Empfängerstation = 00-11-85-08-8b-00 ID der Anrufstation = 00-17-31-fa-1c-8f Client-Name = HP Procurve 5300xl Client-IP-Adresse = 192.168.1.1 NAS-Porttyp = Ethernet NAS-Port = 11 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierunsserver = <unbestimmt> Ursachencode = 23 Ursache = Unerwarteter Fehler. Es liegt eventuell ein Fehler in der Server- bzw. Clienkonfiguration vor. Gruß

RAS Einwahl gestatten habe ich im Benutzeraccount Administrator in der AD angeklickt. (Option unter Eigenschaften) Reicht das aus? Im IAS-Tool selbst habe ich keine Richtlinie erstellt. Da sind noch die Standardrichtlinien drin. (2 Stück) Ich habe in der Richtlinie gesagt, RAS gestatten wenn NAS-IP-Address:192.168.1.1 (IP Adresse des Switches) Habe gerade mal Wireshark während der Authentifizierung laufen lassen und bemerkt, dass die RADIUS-Request Pakete(4 Stück) zwar ankommen, aber der RADIUS nicht antwortet. Gruß

Hallo weg5st0, erstmal vielen Dank für Deine Antwort. Meinst Du mir Switch Radiusbasiert, dass ich versuche mich mit einem Switchbenutzer zu authentifizieren? Das habe ich erfolgreich getestet und das funktioniert auch soweit. Bei HP gibt es zwei Benutzer, Operator und Manager, ich habe beiden ein Passwort gegeben und mich mit den Daten am Switch angemeldet und siehe da, es wurde der entsprechende Port geöffnet und freigegeben für den Client und er erhält eine IP Adresse vom DHCP Server. Das geht soweit alles. Dem User auf dem RADIUS Server habe ich keine besonderen Rechte mehr erteilt, da ich dachte, dass der Adinistrator, der sich in der Gruppe DomainAdmins befindet, sowieso alle Rechte besitzt oder? Ich habe den User in die Gruppe DomainAdmins geschoben, somit es auch daran nicht liegen kann, es sei denn ich muss ihm trotzdem noch entsprechende Recht geben trotz Admin. Wobei die Fehlermeldung auf dem Switch "Cant reach RADIUS SErver" dann nicht mehr ganz schlüssig wäre. Ich wollte nun mal Wireshark auf dem RADIUS SErver laufen lassen, um zu schauen, ob und was dort ankommt (zwischen Switch und IAS). Das HP HowTo habe ich mir vor Beginn dieser Tests heruntergeladen. Dort wird auch alles genau erklärt und ich habe mich auch an das Tutorial gehalten. Dort steht: When primary/secondary authentication is set to RADIUS/Local (for either Login or Enable) and the RADIUS server fails to respond to a client attempt to authenticate, the failure is noted in the EventLog with the message radius:Can't reach RADIUS server <server ip-address>. When this type of failure occurs, the switch prompts the client again to enter a username and password. In this case, use the local username(if any) and password configured on the siwtch itself Bedeutet ja nur, dass ich falls der fehler auftaucht, auf die lokale Benutzerauthentifizierung umwechseln soll und die entsprechenden User konfigurieren muss. Der Client wird dann erneut aufgefordert, die Benutzerdaten (lokale des Switches) einzugeben. Ja also ich habe EAP eingestellt und auch CHAP ausprobiert. Beides brachte keinen Erfolg. Du meinst, dass ich dann einen Zertifikats Server benötige oder? Aber ich dachte,um die Kommunikation allgemein erstmal zu testen, brauche ich denselbigen nicht?!? Vielen Dank und Gruß

Hallo zusammen, ich finde hier nun hoffentlich jemanden, der sich mit der weiter unten erläuterten Problematik identifizieren kann. ;) Das ist das dritte Forum. In den anderen gab es bisher niemanden, der sich mit der Thematik 802.1x und HP Procurve Switchen in Verbindung mit dem IAS von MS auskannte. Mein Problem: Hardware: HP Procurve 5308xl Switch W2k3 Server (IAS, DHCP, AD (nur kurz angelegt und die Verbindung mit dem RADIUS hergestellt; User Administrator wird verwendet für die Authentifizierung) WinXP Client Ich kriege keine Verbindung vom Switch aus zum RADIUS Server. Ping von Switch auf IP des RADIUS funktioniert einwandfrei. Allerdings steht im LogFile "Cant reach RADIUS Server" und entsprechend teilt der Client mir auch "Authentifizierung fehlgeschlagen mit". Ich weiß einfach nicht weiter, da ich schon alles ausprobiert habe. Ich habe das Netzwerk nun auch auf ein einiges VLAN beschränkt, in dem sich alle 24 Ports befinden. An dem Port, wo der RADIUS (DHCP + AD) dranhängt, habe ich die Port-Based Authentification ausgeschaltet. Meine Konfiguration auf dem HP Procurve 5308xl Switch: hostname "HP ProCurve Switch 5308xl" module 1 type J4820A interface A2 no lacp exit interface A3 no lacp exit interface A4 no lacp exit interface A5 no lacp exit interface A6 no lacp exit interface A7 no lacp exit interface A8 no lacp exit interface A9 no lacp exit interface A10 no lacp exit interface A11 no lacp exit interface A12 no lacp exit interface A13 no lacp exit interface A14 no lacp exit interface A15 no lacp exit interface A16 no lacp exit interface A17 no lacp exit interface A18 no lacp exit interface A19 no lacp exit interface A20 no lacp exit interface A21 no lacp exit interface A22 no lacp exit interface A23 no lacp exit interface A24 no lacp exit snmp-server community "public" Unrestricted vlan 1 name "DEFAULT_VLAN" untagged A1-A24 ip address 192.168.1.1 255.255.255.0 exit aaa authentication port-access eap-radius radius-server host 192.168.1.2 aaa authorization commands radius aaa port-access authenticator A2-A24 aaa port-access authenticator active Meine Konfiguration auf dem 802.1x XP Client: IEEE802.1x-Authentifizierung für dieses Netzwerk verwenden EAP-Typ: MD5 Challenge Meine Konfiguration auf dem Radius Server: IP: 192.168.1.2 RADIUS CLient: 192.168.1.1 (VLAN 1 IP Adresse Switch) Remote RADIUS Servergruppen: Gruppe Server beinhaltet den Server selbst (192.168.1.2) RADIUS Serverinformationen: Auth-Port: 1812 Kontoführungsport:1813 (Switch genauso konfiguriert) Vielen Dank, ich hoffe, es kann jemand helfen. Ist super dringend. Gruß

Hey, erstmal danke für Deine schnelle Antwort. ja habe mich intensiv mit SFTP / Secure FTP und FTPS auseinandergesetzt. Ich dachte nur, dass ich FTPS auch über SSH tunneln könnte, wie auch RDP oder HTTP usw.. Das geht ja mit Putty. Putty spiegelt den Port an deinem lokalen Rechner mit der lokalen IP auf dein Rechner im Internet von dem aus man auf den SSH Server zugreift! Aber aufgrund der getrennten Daten und Steuerleitung habe ich mir sowas schon gedacht! SSH nutzt ja nur eine virtuelle Verbindung für Daten und Steurung. Stimmt es also, dass es unmöglich ist diese beiden Dinge zu kombinieren auf die oben beschriebene Art und Weise? Gruß und Danke

Hallo zusammen, ich habe eine Frage, die mich zum Verzweifeln bringt. Ich habe einen Windows 2003 Server, auf dem cygwin läuft mit nem SSH-Server. Auf einem zweiten rechner in meinem Netzwerk läuft ein FileZilla Server. Innerhalb meines Netzwerkes verbinde ich mich mit dem FTP Server per FTPover SSL. Jetzt möchte ich, wenn ich mich außerhalb befinde, mit dem FTP Server mittels SSH Tunnel verbinden. Ich verbinde mich also mit dem SSH Server per Putty, mit dem ich auch den Port und die IP des FTP Servers per SSH tunnel und so mittels localhost:[gewählter Port] (z.B. localhost:10000) per FileZillaClient mit dem FTP Server eine Verbindung aufbaue. Die Authentifizierung funktioniert auch, nur di Dateiliste kann nicht angezeigt werden. Liegt es vielleicht daran, dass FTPS zwei Ports (Steuer und Daten) nutzt und SSH ja nur einen zur Verfügung stellt(22)? Ich habe gedacht, dass die Steuerdaten getunnelt werden, die Dateiliste aber nicht in den SSH Tunnel geschossen wird, sondern gegen die Wand fährt!;) Gruß und Danke für alle Antworten!

Hallo zusammen, ich habe ein kleines Problem, was allerdings aus Zeitgründen immer größer wird. Ich habe Windows2003Server auf meiner Festplatte als Ordner liegen. Jetzt wollte ich diese Dateien auf CD brennen, da ich davon ausging, dass die gebrannte CD dann sowieso bootfähig ist, da es die gleichen Dateien sind wie auf einer Windows2003 CD. Nun ja, also habe ich diese CD mit Nero gebrannt und wollte davon booten. Hat nicht funktioniert. (Ohne Fehlermeldung einfach von HDD gebootet) Dann wollte ich mit Nero eine CD(Boot) erstellen und habe als Imagedatei "BOOTFONT.bin" eingetragen. Danach die Dateien in die Zusammenstellung geschoben und gebrannt. Beim Booten erscheint nun die folgende Fehlermeldung: "FD 1.44 MB System Type (0F)" Bei dieser FM bleibt der Rechner stehen und es passiert nichts mehr. Wenn ich die CD normal im WIndows öffne, erscheint automatisch das Windows2003 Setup, also die Dateien scheinen zu stimmen, nur das Booten funktioniert nicht. Hat jemand eine Idee bzw. diese FM auch schon mal erhalten???? Falls sich jemand die Frage stellt, warum ich mir diese CD brennen will: Ich habe einen originalen Key, aber die Original CD ist defekt. Danke im Voraus Gruß

Hallo zusammen, ich habe mal eine Frage´, die sich mir stellt seitdem ich TCP/IP Grundlagen von Microsoft gelesen habe. Nehmen wir beispielsweise die Namenszuordnungsdatei "Services". Dort stehen bei mir sämtliche Einträge drin, aber wie kommen die da rein? SInd die vom System eingetragen oder werden die standardmäßig schon alle eingetragen oder werden die vom System dann eingetragen wenn sie das erste Mal genutzt werden?? Da die ganzen DIenste ja nicht alle laufen, denke ich, dass diese nur schon standardmäßig eingetragen wurden, aber andererseits sind hier in meiner Firma auch SAP Dienste eingetragen inklusiver aller Portnummern, die das System ja standardmäßig nicht kennen kann! Oder? Gruß, Pitt

Hallo zusammen, ich habe mir einen DC eingerichtet und habe nun meinen Client in die Domäne aufgenommen. Als ich den Client nun gestartet habe und mich an der Domäne anmelden wollte, hat er logischerweise kein Profil für den benutzer gefunden und läd dann automatisch ein Standardprofil von WIndows und ordnet dieses dem User zu! Meine Frage jetzt: Wie kann ich mein optimiertes Profil des Clients(also das lokale) zum Server kopieren? Also wo liegt mein Profil, welche Ordner gehören dazu, wie kann ich es kopieren und wo muss ich es hinkopieren! Bin glücklich über alle Antworten! Diese page braucht User!!!! Danke u Gruß Pitt