nouseforaname

Hi,

wie hercules schon schreibt, was sagen die logfiles des IAS?

bzw. das eventlog des servers auf dem der ias läuft!

sind die zertifikate auf dem Client und Server registriert?

mmc öffnen und dann zertifikate auswählen für computer und user!

ansonsten kannst du mit dem packetyzer schauen welche Pakete von wem verschickt werden und wann der fehler eintritt!

http://www.networkchemistry.com/products/packetyzer.php

gruß

kai

weil die zertifizierungstelle eines enterprise servers viele funktionen bietet die die standard version nicht unterstützt! grundsätzlich ist eine enterprise edition für eine CA immer die bessere wahl wenn man die möglichkeit hat!

wie z.b. das auto enrollment von zertifikaten mithilfe einer gpo!

also du hast jetzt ein zertifikat für den benutzer/computer und ias ras server erstellt?

dann musst du in deiner group policy das autoenrollment einrichten!

hier ein link, der das ganze nochmal genauer beschreibt.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx#ETJAC

du kannst die zertifikate auch manuell über den explorer anfordern!

http:\\deinserver\certsrv.msc

ob die zertifikate ausgestellt wurden siehst du in der CA unter "ausgestellte Zertifikate"

oder am client indem du die mmc öffnest und das zertifikate snap-in hinzufügst!

mfg

kai

ist es eine enterprise edition? das ist wichtig !

wie hast du die zertifikate installiert?

gruß

kai

und hier ein auszug aus dem ersten link => ist doch ein relativ gutes how to dass auch auf die Zertifizierungsstelle eingeht !

http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20-4cef-9939-47c397ffd3dd&displaylang=en

erstmal der webcast

http://support.microsoft.com/?scid=kb%3Ben-us%3B842439&x=15&y=17

auch schon angehört/angeguckt?

Implemtierung einer PKI

http://www.microsoft.com/germany/technet/datenbank/articles/600683.mspx

ist es eine Enterprise Edition?

hi,

der ist recht informativ . . . eigentlich fast alles zum ias!

http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx

es gibt auch noch einen webcast zum thema ias auch sehr gut ich gucke mal ob ich den link noch finde!

Hi,

enterprise server? und windows CA?

dann kannst du die zertifikate user und oder server/computer per GPO im ADS verteilen lassen.

gruß

kai

Hi,

hat vielleicht jemand eine idee?

ich verzweifele langsam daran!

einziger anhaltspunkt den ich noch habe ist das nirgendwo steht dass der switch ipsec unterstützt. wenn ich als radius server den ias habe wird die übertragung des shared secret doch mit ipsec verschlüsselt, oder ?

kann das vielleicht der grund sein warum das nicht funktioniert?

hat das jemand mal mit einem 3com switch eingerichtet.

über hilfe wäre ich sehr dankbar!

mfg

kai

Hi,

folgende links könnten hilfreich sein!

technet artikel zur einrichtung des ias:

http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx

weitere links zur absicherung des wlans mit ias:

http://www.microsoft.com/germany/technet/datenbank/articles/900167.mspx

http://www.microsoft.com/germany/technet/datenbank/articles/900015.mspx

http://www.microsoft.com/germany/technet/datenbank/articles/900012.mspx

gruß

kai

Hi,

ich will mit einem 3COM switch 3226 eine 802.1x port security einrichten, die computer und user sollen sich am IAS-Server authentifizieren.

Die Authentifizierung schlägt fehl!

Wenn ich mir die Authentifizierung mit Packetyzer

anschaue kommuniziert nur der switch und der client miteinander!

an den ÌAS Server werden gar keine EÀPOL pakete geschickt!

Im Eventlog des IAS Servers wird auch nichts protokolliert.

Wenn ich die Anfrage mit einem Testprogramm starte sehe ich das im Eventlog des IAS Servers!

Der Switch und der Server sind im gleichen VLAN und können auch miteinander kommunizieren. Gebe ich im Switch eine falsche gemeinsamen Schlüssel ein bekomme ich im Eventlog des IAS Server eine Fehlermeldung.

Wenn ich im IAS den Radius Client also den switch einrichte sehe ich auch im eventlog

das er LDAP lese Berechtigungen auf das ADS vergibt!

Hat jemand eine Idee wie ich testen kann ob der IAS und der Switch richtig miteinander kommunizieren!

Bzw. hat jemand eine erklärung dafür warum der switch die authentifizierung verweigert ohne wie eingestellt mit dem IAS Server die Daten abzugleichen? (beide nutzen UDP 1812)

der IAS ist ein Server 2003 Ent.

Die Authentifizierung erfolgt über EAP-TLS mit Client und User Zertifikaten.

sollte ich irgendwas vergessen haben bitte fragen

hoffe ich hab es halbwegs vertändlich erklärt

Danke im voraus

gruß

kai

hi,

also ich kenne mich mit der hardware aus dell servern nicht so gut aus, aber ein raid 0 ist von der performance das non plus ultra und wenn der controller nicht die totale krücke ist sollte er das nicht ausbremsen , denke ich !

aber weitere Lösungsansätze ?

bei der problematik so aus der ferne extrem schwierig!

hast du irgendwelche neuen Erkenntnisse gewonnen?

mfg

kai

Hi,

nicht zwingend, kann man auch mit dyndns lösen sofern der router das unterstützt!

mfg

kai

ping den FQDN => Full Qualified Domain Name

also z.B. pcXY.domain.local

das ist schon mal ein gutes indiz dafür dass es funktioniert!

ahh, super danke!

das war mir nicht klar dass da exakt das gleiche passiert!

mfg

kai

Hi,

bin gerade auf ein kleines problem gestoßen, ich wollte einen IAS im ADS registrieren.

Es gibt im selben Subnet aber noch einen DC und an diesem hat sich der IAS registriert was aber keinen sinn macht weil dort keinerlei relevanten konten für den IAS vorhanden sind.

die konstellation mit den zwei komplett unabhängigen DCs ist etwas ungewöhnlich soll aber auch nur vorrübergehend so sein!

der server auf dem der IAS installiert ist ist der für die registrierung vorgesehene DC.

nun meine frage:

kann man die Registrierung an einem bestimmten DC erzwingen?

mfg

kai

das einzige was ich mir als flaschenhals vorstellen könnte wären die 2GB speicher!

es sind ja sehr große Datenmengen die du sicherst.

Also dass er am anfang wie du beschreibst noch recht flott ist aber dann immer mehr daten auf die hdd auslagern muss und so an performance verliert!

ist aber natürlich nur eine vermutung!

gruß

kai

Hi,

mit was oder welcher Software sicherst du die Dateien denn ?

was für prozessoren hast du genau und wieviel speicher?

und noch eine verständnisfrage von deiner storage einheit aus sicherst du die daten dann auf ein tape?

mfg

kai

Hi,

geht mit den windows boardmitteln! einfach in der Netzwerkumgebung eine neue

VPN-Verbindung einrichten.

mfg

kai

@grizzly999

sorry, war mein fehler!

die möglichkeit die ich mit certutil gesehen hatte war nur für die veröffentlichung eines client zertifikats auf einer ca.

war nur am zweifeln dass es irgendwie eine möglichkeit geben müsste es auch auf 2k clients zu automatisieren.

mfg

kai

Hi,

habe jetzt auf die schnelle nur das hier gefunden . . .

To install the CA certificate

Syntax

certutil-installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

Parameters

-installcert Installs a CA certificate.

-f Overwrites existing files or keys.

-gmt Displays time as Greenwich mean time.

-seconds Displays time with seconds and milliseconds.

-v Specifies verbose output.

-configCAMachineName\CAName processes the operation by using the CA specified in the configuration string (that is, CAMachineName\CAName).

CACertFile Specifies the CA signature certificate that contains the public key that is used to verify digital signatures.

-? Displays a list of certutil commands.

Remarks

• You must specify the CAComputerName or CAName in -config CAComputerName\CAName. Otherwise, the Select Certificate Authority dialog box appears and displays a list of all CAs that are available.

• If you use -config - instead of -config CAComputerName\CAName, the operation is processed using the default CA.

• A PKCS #7 certification chain is the preferred content for CACertFile. However, an X.509 v3 certificate is accepted if all of the certificates that will be used to form the chain are already installed on the local computer.

• This command also completes subordinate CA certificate installation for a subordinate CA that generated a request, but has not yet received and installed its CA certificate.

• This command also allows installation of a requested renewal CA certificate.

Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/5e0f52f2-f7c8-4c74-9497-be52366df52e1033.mspx

habe aber nochmal eine genauere beschreibung gefunden an die ich erst heute abend wieder dran komm.

ich kann aber wie oben geschrieben nicht definitiv sagen ob es funktioniert. vielleicht funktioniert das auch nur mit dem root zertifikat der CA. Ich schaue heute abend nochmal nach!

mfg

kai

es ist moeglich das client zertifikat für 2k systeme per skript mit certutil einzurichten, habe ich in der praxis aber noch nicht gemacht! kann dir daher auch nicht sagen wie genau das skript dann auszusehen hat!

gruß

kai

Hi,

andere Frage: was spricht den gegen HP ?

würde mich mal interessieren.

und einen Controller der RAID 5 kann kriegst du in fast jeden Server eingebaut.

mfg

kai

Hi,

hast du die zertifikate mit dem IAS erstellt?

XP Clients?

edit: sehe gerade w2k da geht es noch nicht mit der gp!

gruß

kai

Hi,

gibt es den alten DHCP Bereich noch oder hast du den schon verworfen?

ansonsten würde ich im DHCP und DNS alle alten Einträge bereinigen lassen und mal testweise einen neuen Eintrag im DNS auslösen der dann automatisch eingetragen werden sollte.

mfg

kai

Hi,

die clients sind aber mitglieder der domäne ?

funktioniert die Namensauflösung den problemlos?

mfg

kai