nouseforaname

Hi, für was ist das zertifikat denn? geht es um mehrere Domänen zwischen denen Vertrauenstellungen eingerichtet sind ? oder "kennen" sich die Domänen gar nicht ? gruß kai

Hi, @grizzly999 du meintest billiger, oder ? gruß kai

Hi, mit dem server in der DMZ oder "normal" hinter der firewall? gruß kai

ich hoffe jetzt einfach mal das der post von fisi2002mue unglücklich formuliert ist . . . ! mfg kai

Hi, also so ganz hab ich dein vorhaben noch nicht durchblickt. die Seriennummer eines Notebooks steht zwar bei manchen geräten im bios aber wie willst du die einlesen => welche Sicherheit soll das haben. mit RADIUS kannst du PEAP-TLS (so ziemlich die sicherste EAP-Methode) machen und die Zertifikate auf Smart Cards auslagern. Zusätzlich kannst du die Daten mit IPSEC Verschlüsseln. edit: hier noch ein link: http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx#ECG mfg kai

Hi, was für ein PC, welche Hardware, wann gekauft ? hdd mit einem Tool des Herstellers überprüfen so gut wie jeder hersteller bietet solche diagnose tools. SMART im Bios aktiviert? mfg kai

Hi, gute frage habe eben mal geguckt auf l2tp und ipsec geht linksys nirgends ein, nur auf pptp-vpn server hinter einer linksys firewall. wenn es mit passthrough und port 4500 nicht geht, fällt mir auch gerade nichts ein. hier die statements von linksys zu pptp http://linksys.custhelp.com/cgi-bin/linksys.cfg/php/enduser/std_adp.php?p_faqid=593&p_created=1084217852&p_sid=2z8ae38i&p_accessibility=0&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9MTU5JnBfcHJvZHM9MSwyMCZwX2NhdHM9JnBfcHY9Mi4yMCZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfc2NmX2xhbmc9MSZwX3BhZ2U9Mw**&p_li=&p_topview=1 http://linksys.custhelp.com/cgi-bin/linksys.cfg/php/enduser/std_adp.php?p_faqid=737&p_created=1084220437&p_sid=2z8ae38i&p_accessibility=0&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9MTU5JnBfcHJvZHM9MSwyMCZwX2NhdHM9JnBfcHY9Mi4yMCZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfc2NmX2xhbmc9MSZwX3BhZ2U9Mw**&p_li=&p_topview=1 im zweiten link sagen sie ja dass man das GRE 47 Protokoll auch als port weiterleiten soll und das angeblich funktioniert, kannst du ja auch mal mit esp probieren! mfg kai

Hi, nat bzw. nat-t braucht den Port 4500! zusätzlich muss das ip protokoll 50 für den esp header noch durchgelassen werden. gruß kai

auch windows eigene also funktioniert z.B. ein ping, oder auch da das phänomen? falls ja kannst du versuchen das komplette ip protokoll zu deinstallieren und dann neu aufspielen => wenn das keine abhilfe bringt, würde ich am ehesten die Netzwerkkarte verdächtigen! mfg kai

Hi, tritt das problem nur bei einer Anwendung auf ? gibt es im eventlog irgendwelche Fehlermeldungen? sind die beiden server zu 100% gleich? hast du die möglichkeit eine andere Netzwerkkarte einzubauen bzw. einfach eine andere zu benutzen? mfg kai

habe den IT-Administrator seit einem halben jahr als abo und bin bislang sehr zufrieden. der preis ist zwar ordentlich, aber man kann den aufwand hinter dem magazin erkennen und bei einer nicht allzu riesigen Auflage lässt sich der preis so auch erklären. aber vom inhalt meiner meinung nach richtig gut! gruß kai

ist der client domänenmitglied? welche eap "art" setzt du ein? tls? du hast jetzt nur ein computerzertifikat ausgestellt? gruß kai

Hi, guck mal ob das vielleicht sogar langt? http://support.3com.com/infodeli/tools/switches/4900/dha1770-0aaa06/htm/contents/contents.htm gruß kai

eine ansammlung von links: der webcast: http://support.microsoft.com/?scid=kb%3Ben-us%3B842439&x=15&y=17 http://support.microsoft.com/?scid=kb%3Ben-us%3B837911&x=12&y=12 das how-to: http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed80211.mspx verschiedenes: http://technet2.microsoft.com/WindowsServer/en/Library/e9a30a60-7f8b-435f-b210-d47c3b7ecb961033.mspx http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx#ECG http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx gruß kai

hi, also ein kieselstein ist ein computerzertifikat zur authentifizerung wohl nicht. EAP-TLS ist eines der sichersten protokolle. Aber nur ein computerzertifikat verringert die sicherheit natürlich ein wenig. Ob das funktioniert habe ich nie ausprobiert, aber ich wüßte nicht was dagegen sprechen soll. EAP-TLS fordert nur auf beiden Seiten "1" (ob computer oder user zertifikat ist offen gelassen) Zertifikat für die gegenseitige Authentifizierung. Also ein Versuch ist es wert => solltest du auf Probleme stoßen, kannst du ja noch zusätzlich die benutzerzertifikate mitnutzen! edit: zu spät gesehen => die CA ist auch eine standard edition des 2003 server? hier empfiehlt ms eine enterprise edition Client certificate requirements With either EAP-TLS or PEAP with EAP-TLS, the server accepts the client's authentication when the certificate meets the following requirements: • The client certificate is issued by an enterprise certification authority (CA), quelle: http://support.microsoft.com/default.aspx?scid=kb;en-us;814394 gruß kai

Hi, ja es gibt solche boards! willst du den server selbst zusammenbasteln? guck mal bei intel oder auch bei tyan http://www.intel.com/cd/products/services/emea/deu/motherboards/index.htm http://www.tyan.de/ gruß kai

mhhh so wie ich das verstehe geht es nur darum remote einwahlen z.B. via vpn an einem radius server z.B. IAS zu authentifizieren. also ein vpn mit eap-tls zur authentifizierung. einen direkten zusammenhang mit einer port security sehe ich da jetzt keinen! gruß kai

win 2000 sollte passen routing und ras öffnen in welchem zusammenhang wo hast du das gelesen? gruß kai

Message Authenticator-Attribut Mit dem Message Authenticator-RADIUS-Attribute (auch digitale Signatur oder Signaturattribut genannt) stellen Sie sicher, dass eingehende Access-Request-RADIUS-Meldungen für Verbindungsanforderungen, die die Authentifizierungsprotokolle PAP, CHAP, MS-CHAP und MS-CHAP v2 verwenden, von einem RADIUS-Client mit dem entsprechenden gemeinsamen geheimen Schlüssel gesendet wurden. Sie müssen die Verwendung des Message Authenticator-Attributs sowohl auf dem IAS-Server (im Rahmen der Konfiguration des RADIUS-Clients im Internetauthentifizierungsdienst) als auch auf dem RADIUS-Client (dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie, ob der RADIUS-Client das Message Authenticator-Attribut unterstützt, bevor Sie dieses aktivieren. Für EAP wird das Message Authenticator-Attribut stets verwendet und muss nicht auf dem IAS-Server und dem Zugriffsserver aktiviert werden. Weitere Informationen finden Sie unter Bearbeiten der RADIUS-Clientkonfiguration. Informationen zum Aktivieren des Message Authenticator-RADIUS-Attributs für den Zugriffsserver finden Sie in der entsprechenden Dokumentation für den Zugriffsserver. Für den Routing- und RAS-Dienst wird das Message Authenticator-RADIUS-Attribut beim Konfigurieren des RADIUS-Authentifizierungsanbieters in den Eigenschaften eines RADIUS-Servers aktiviert. Weitere Informationen finden Sie unter Verwenden der RADIUS-Authentifizierung. quelle : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/bfa1451a-6f53-4792-98a0-00d10977fd2c.mspx?mfr=true wenn du es nicht gesetzt hast kann es eigentlich auch keine probleme bereiten, falls es im IAS eingerichtet ist aber es der switch nicht unterstüzt oder es nicht eingerichtet ist dann kann es zu problemen führen versuch es beim zertifikat mal mit dem DNS namen => dafür musst du dass zertifikat neu zur verteilung raus geben => zertifikat neu anfordern entweder per gpo oder manuell anschliessend client und server neu starten da sonst ein altes zertifikat aus dem cache benutzt werden kann die Fehlermeldung ist so allgemein dass ich keine idee habe an was es exakt liegt da ist letztendlich probieren gefragt edit: eine idee habe ich noch welche domänenfunktionsebene hast du eingestellt? gruß kai

ist erst mal nichts dabei wo ich sagen würde dass es da hackt . . . ? hast du denn message authenticator gesetzt? wird beim radius client im ias konfiguriert, wie du es bei deinem cisco switch einstellst bzw. ob er das unterstützt kann ich dir leider nicht sagen! noch eine idee: lass dir in der CA die zertifikatvorlagen anzeigen wähle das RAS und IAS Server zertifikat aus und gucke was im reiter antragstellername eingerichtet ist. falls "keiner" eingerichtet ist können sich die clients nicht am IAS authentifizieren! gruß kai

hi, ich dachte es mir schon dass wir irgendwo an einander vorbei reden da du aber gesagt hast du nutzt peap mit zertifikaten zur Authentifizierung bin ich von PEAP-TLS ausgegangen! also für peap - ms chap v2 brauchst du nur das zertifikat für den ras und ias das stimmt! die authentifizierung des clients erfolgt dann über das passwort bzw. schlüssel. welche bedingungen stehen in deiner ras richtlinie? gruß kai

Hi, nur das wir nicht aneinander vorbei reden du willst PEAP - EAP - TLS nutzen ? Dann musst du nicht nur das zertifikat auf dem server installieren, sondern auch eines für den client und den user ! wahlweise computer und benutzer zertifikat oder zur erhöhung der sicherheit arbeitsstationenauthentifizerung + nur benutzersignatur. solange die zertifikate nicht auf den rechnern sind ist keine authentifizierung möglich! edit: dein dns server lässt keine dynamischen einträge zu ? warum ? gruß kai

Hi, da ist aber einiges im argen! poste doch mal ein ipconfig des servers und des clients funktioniert die dns auflösung => Ping des FQDN ist der client mitglied der domäne ? und was für zertifikate hast du verteilt? gruß kai

falls es jemanden interessiert => problem gelöst meine vermutung dass der switch kein ipsec unterstützt ist richtig, aber der ansatz dass das shared secret mit ipsec verschlüsselt wird war falsch. nach einem telefonat mit dem 3COM support und ein paar versuchen die bereits aktuelle firmware nochmal aufzuspielen und einen hard-reset durchzuführen hat man mir den switch ausgetauscht und siehe da mit dem neuen funktioniert es ! gruß kai