nouseforaname
-
Gesamte Inhalte
195 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von nouseforaname
-
-
Hi,
@grizzly999 du meintest billiger, oder ?
gruß
kai
-
Hi,
mit dem server in der DMZ oder "normal" hinter der firewall?
gruß
kai
-
ich hoffe jetzt einfach mal das der post von fisi2002mue unglücklich formuliert ist . . . !
mfg
kai
-
Hi,
also so ganz hab ich dein vorhaben noch nicht durchblickt.
die Seriennummer eines Notebooks steht zwar bei manchen geräten im bios aber wie willst du die einlesen => welche Sicherheit soll das haben.
mit RADIUS kannst du PEAP-TLS (so ziemlich die sicherste EAP-Methode) machen und die Zertifikate auf Smart Cards auslagern.
Zusätzlich kannst du die Daten mit IPSEC Verschlüsseln.
edit:
hier noch ein link:
http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx#ECG
mfg
kai
-
Hi,
was für ein PC, welche Hardware, wann gekauft ?
hdd mit einem Tool des Herstellers überprüfen so gut wie jeder hersteller bietet solche diagnose tools.
SMART im Bios aktiviert?
mfg
kai
-
Hi,
gute frage habe eben mal geguckt auf l2tp und ipsec geht linksys nirgends ein, nur auf pptp-vpn server hinter einer linksys firewall.
wenn es mit passthrough und port 4500 nicht geht, fällt mir auch gerade nichts ein.
hier die statements von linksys zu pptp
im zweiten link sagen sie ja dass man das GRE 47 Protokoll auch als port weiterleiten soll und das angeblich funktioniert, kannst du ja auch mal mit esp probieren!
mfg
kai
-
Hi,
nat bzw. nat-t braucht den Port 4500!
zusätzlich muss das ip protokoll 50 für den esp header noch durchgelassen werden.
gruß
kai
-
2. Ansatz: Fehler in unseren Serverdiensten
--> Kann nicht sein, da Anwendungen auf anderem Server problemlos laufen
QUOTE]
ahh ok dann habe ich das falsch verstanden dachte beim anderen server tritt kein fehler auf!
mfg
kai
-
auch windows eigene also funktioniert z.B. ein ping, oder auch da das phänomen?
falls ja kannst du versuchen das komplette ip protokoll zu deinstallieren und dann neu aufspielen => wenn das keine abhilfe bringt, würde ich am ehesten die Netzwerkkarte verdächtigen!
mfg
kai
-
Hi,
tritt das problem nur bei einer Anwendung auf ?
gibt es im eventlog irgendwelche Fehlermeldungen?
sind die beiden server zu 100% gleich?
hast du die möglichkeit eine andere Netzwerkkarte einzubauen bzw. einfach eine andere zu benutzen?
mfg
kai
-
habe den IT-Administrator seit einem halben jahr als abo und bin bislang sehr zufrieden.
der preis ist zwar ordentlich, aber man kann den aufwand hinter dem magazin erkennen und bei einer nicht allzu riesigen Auflage lässt sich der preis so auch erklären.
aber vom inhalt meiner meinung nach richtig gut!
gruß
kai
-
ist der client domänenmitglied?
welche eap "art" setzt du ein? tls?
du hast jetzt nur ein computerzertifikat ausgestellt?
gruß
kai
-
Hi,
guck mal ob das vielleicht sogar langt?
http://support.3com.com/infodeli/tools/switches/4900/dha1770-0aaa06/htm/contents/contents.htm
gruß
kai
-
eine ansammlung von links:
der webcast:
http://support.microsoft.com/?scid=kb%3Ben-us%3B842439&x=15&y=17
http://support.microsoft.com/?scid=kb%3Ben-us%3B837911&x=12&y=12
das how-to:
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/ed80211.mspx
verschiedenes:
http://technet2.microsoft.com/WindowsServer/en/Library/e9a30a60-7f8b-435f-b210-d47c3b7ecb961033.mspx
http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx#ECG
http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx
gruß
kai
-
hi,
also ein kieselstein ist ein computerzertifikat zur authentifizerung wohl nicht.
EAP-TLS ist eines der sichersten protokolle.
Aber nur ein computerzertifikat verringert die sicherheit natürlich ein wenig.
Ob das funktioniert habe ich nie ausprobiert, aber ich wüßte nicht was dagegen sprechen soll.
EAP-TLS fordert nur auf beiden Seiten "1" (ob computer oder user zertifikat ist offen gelassen) Zertifikat für die gegenseitige Authentifizierung.
Also ein Versuch ist es wert => solltest du auf Probleme stoßen, kannst du ja noch zusätzlich die benutzerzertifikate mitnutzen!
edit: zu spät gesehen => die CA ist auch eine standard edition des 2003 server? hier empfiehlt ms eine enterprise edition
Client certificate requirements
With either EAP-TLS or PEAP with EAP-TLS, the server accepts the client's authentication when the certificate meets the following requirements: • The client certificate is issued by an enterprise certification authority (CA),
quelle: http://support.microsoft.com/default.aspx?scid=kb;en-us;814394
gruß
kai
-
Hi,
ja es gibt solche boards! willst du den server selbst zusammenbasteln?
guck mal bei intel oder auch bei tyan
http://www.intel.com/cd/products/services/emea/deu/motherboards/index.htm
gruß
kai
-
mhhh so wie ich das verstehe geht es nur darum remote einwahlen z.B. via vpn an einem radius server z.B. IAS zu authentifizieren. also ein vpn mit eap-tls zur authentifizierung.
einen direkten zusammenhang mit einer port security sehe ich da jetzt keinen!
gruß
kai
-
win 2000 sollte passen
routing und ras öffnen in welchem zusammenhang wo hast du das gelesen?
gruß
kai
-
Message Authenticator-Attribut
Mit dem Message Authenticator-RADIUS-Attribute (auch digitale Signatur oder Signaturattribut genannt) stellen Sie sicher, dass eingehende Access-Request-RADIUS-Meldungen für Verbindungsanforderungen, die die Authentifizierungsprotokolle PAP, CHAP, MS-CHAP und MS-CHAP v2 verwenden, von einem RADIUS-Client mit dem entsprechenden gemeinsamen geheimen Schlüssel gesendet wurden. Sie müssen die Verwendung des Message Authenticator-Attributs sowohl auf dem IAS-Server (im Rahmen der Konfiguration des RADIUS-Clients im Internetauthentifizierungsdienst) als auch auf dem RADIUS-Client (dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie, ob der RADIUS-Client das Message Authenticator-Attribut unterstützt, bevor Sie dieses aktivieren. Für EAP wird das Message Authenticator-Attribut stets verwendet und muss nicht auf dem IAS-Server und dem Zugriffsserver aktiviert werden. Weitere Informationen finden Sie unter Bearbeiten der RADIUS-Clientkonfiguration.
Informationen zum Aktivieren des Message Authenticator-RADIUS-Attributs für den Zugriffsserver finden Sie in der entsprechenden Dokumentation für den Zugriffsserver. Für den Routing- und RAS-Dienst wird das Message Authenticator-RADIUS-Attribut beim Konfigurieren des RADIUS-Authentifizierungsanbieters in den Eigenschaften eines RADIUS-Servers aktiviert. Weitere Informationen finden Sie unter Verwenden der RADIUS-Authentifizierung.
wenn du es nicht gesetzt hast kann es eigentlich auch keine probleme bereiten,
falls es im IAS eingerichtet ist aber es der switch nicht unterstüzt oder es nicht eingerichtet ist dann kann es zu problemen führen
versuch es beim zertifikat mal mit dem DNS namen => dafür musst du dass zertifikat neu zur verteilung raus geben => zertifikat neu anfordern entweder per gpo oder manuell
anschliessend client und server neu starten da sonst ein altes zertifikat aus dem cache benutzt werden kann
die Fehlermeldung ist so allgemein dass ich keine idee habe an was es exakt liegt da ist letztendlich probieren gefragt
edit: eine idee habe ich noch welche domänenfunktionsebene hast du eingestellt?
gruß
kai
-
ist erst mal nichts dabei wo ich sagen würde dass es da hackt . . . ?
hast du denn message authenticator gesetzt?
wird beim radius client im ias konfiguriert, wie du es bei deinem cisco switch einstellst bzw. ob er das unterstützt kann ich dir leider nicht sagen!
noch eine idee: lass dir in der CA die zertifikatvorlagen anzeigen wähle das RAS und IAS Server zertifikat aus und gucke was im reiter antragstellername eingerichtet ist.
falls "keiner" eingerichtet ist können sich die clients nicht am IAS authentifizieren!
gruß
kai
-
hi,
ich dachte es mir schon dass wir irgendwo an einander vorbei reden da du aber gesagt hast du nutzt peap mit zertifikaten zur Authentifizierung bin ich von PEAP-TLS ausgegangen!
also für peap - ms chap v2 brauchst du nur das zertifikat für den ras und ias das stimmt!
die authentifizierung des clients erfolgt dann über das passwort bzw. schlüssel.
welche bedingungen stehen in deiner ras richtlinie?
gruß
kai
-
Hi,
nur das wir nicht aneinander vorbei reden du willst PEAP - EAP - TLS nutzen ?
Dann musst du nicht nur das zertifikat auf dem server installieren,
sondern auch eines für den client und den user !
wahlweise computer und benutzer zertifikat oder zur erhöhung der sicherheit
arbeitsstationenauthentifizerung + nur benutzersignatur.
solange die zertifikate nicht auf den rechnern sind ist keine authentifizierung möglich!
edit: dein dns server lässt keine dynamischen einträge zu ?
warum ?
gruß
kai
-
Hi,
da ist aber einiges im argen!
poste doch mal ein ipconfig des servers und des clients
funktioniert die dns auflösung => Ping des FQDN
ist der client mitglied der domäne ?
und was für zertifikate hast du verteilt?
gruß
kai
-
falls es jemanden interessiert => problem gelöst
meine vermutung dass der switch kein ipsec unterstützt ist richtig, aber der ansatz dass das shared secret mit ipsec verschlüsselt wird war falsch.
nach einem telefonat mit dem 3COM support und ein paar versuchen
die bereits aktuelle firmware nochmal aufzuspielen und einen hard-reset durchzuführen hat man mir den switch ausgetauscht und siehe da mit dem neuen funktioniert es !
gruß
kai
Zertifikat erstellen mit mehren CN
in Windows Server Forum
Geschrieben
Hi,
für was ist das zertifikat denn?
geht es um mehrere Domänen zwischen denen Vertrauenstellungen eingerichtet sind ?
oder "kennen" sich die Domänen gar nicht ?
gruß
kai