Jump to content

spyro-86

Members
  • Gesamte Inhalte

    18
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von spyro-86

Explorer

Explorer (4/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

10

Reputation in der Community

  1. spyro-86

    Vlan

    Weiß nicht wie das funktioniert. Muss ich erst 2 VLAN´s definieren und dann das Guest-VLAN über dot1x konfigurieren?
  2. spyro-86

    Vlan

    Hallo daking, das war genau das, wonach ich gesucht hab. Nur finde ich leider keine passende bzw. entsprechende Config-Anleitung/Beschreibung im Web... Hast du vielleicht einen brauchbaren Link? Oder ne Doku? Greetz, Spyro
  3. spyro-86

    Vlan

    Hab mich vielleicht etwas unverständlich ausgedrückt. Ich will auf dem Switch 2 VLAN´s konfigurieren. 1 VLAN, das ganz normal auf unser Netz zugriff hat und ein 2tes VLAN in dem sich nur die Leute innerhalb des Schulungsraum "sehen". Die Fremfirmenmitarbeiter können sich absichtlich nicht authentifizieren, da sie bei uns keinen Domänenaccount haben (802.1x EAP-PEAP mit MS-CHAPv2). Diese sollen dann vom Switch automatisch in das 2te VLAN verschoben werden. Firmenangehörige, die sich authentifizieren können, sollen in´s VLAN 1 "geschoben" werden... Ich hoffe ich konnte es etwas deutlicher darstellen... Greetz, spyro-86
  4. spyro-86

    Vlan

    Hallo, ich bin zur Zeit am Implementieren von 802.1x in einem unserer Schulungsräume ( zu Testzwecken). Dies setze ich mit einem Cat 3550 um. Prinzipiell funzt die Authentifizierung auch. Wie muss ich nun meinen Switch konfigurieren, damit ein "Fremdfirmen-Mitarbeiter", der sich nicht authentifizieren kann, in ein sperates VLAN verschoben wird? Bis dato hab ich noch keine VLAN´s auf dem Switch konfiguriert und ist auch überhaupt totales Neuland für mich. Würd mich über ein paar Antworten freuen :D Greetz, spyro-86
  5. Hi darkn8.... vielen Dank für den Link! Hatte ich leider schon durchgegraben... Mein Client ist auch in der Domäne, das mit den v2 - Zertis über die Gruppenrichtline hatte ich auch gemacht.... Jetzt hab ich endlich den Fehler gefunden!! Meine RAS-Richtlinie hatte ich auf eine Gruppe bezogen und das hat ihm anscheinend nicht gepasst. Jetzt hab ich sie auf Benutzer bezogen und mache die Zugriffsberechtigung über die Benutzerverwaltung im AD. Ich weiß zwar noch nicht warum er damit ein Problem hatte, aber Hauptsache es läuft jetzt endlich!! Weißt du zufällig ob es dafür auch ne Richtline gibt ( Einwählen "deaktiviert" ... ) Gruß Jürgen
  6. Hallo, ich hab im Event-log unter System meines Servers diesen Fehler: Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Diese taucht auf, sobald ich mich mit meinem XP - Client am RADIUS - Server authentifizieren möchte. Danach bekomm ich vom IAS nur noch Fehler und die Authentifizierung schlägt fehl. Weiß jemand von euch vielleicht woher der SSL - Fehler kommen könnte? Hab bis jetzt immer nur von Fehlern in Verbindung mit IIS oder Exchange gelesen... Wäre über Tips sehr dankbar. Greetz, Jürgen
  7. Irgendwie seh ich langsam schwarz für mein PEAP MS-CHAP v2 Sollte wohl besser doch auf EAP-TLS umsteigen... Werd mich morgen auf alle Fälle noch etwas spielen und wieder melden! Vielen Dank schon mal für deine Hilfe!! :thumb1: Schönen Abend noch! Gruß Jürgen
  8. Ich seh grad, DNS ist eh angehakt. Algemeiner Name steht oben in der Auswahl drin. Also hat sich das mit der Zertifikatsänderung wohl erledigt... öffnen sie Routing und RAS ... hab ich im Zusammenhang mit der RADIUS - Authentifizierung gelesen, weil ich überprüfuen wollte ob mein Server das Message Authenticator-Atribut gesetzt hat steht hier: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5934dc6b-78ec-4d37-b45f-99754e506780.mspx?mfr=true
  9. Also meine Domänengesamtstuktur hab ich auf Win2000 pur hochgestuft. Müsste eigentlich passen oder? Das mit dem Zertifikat werde ich gleich mal testen. Irgendwie steh ich heut aufm Schlauch! Was meinen "die" mit " Öffnen Sie Routing und RAS. " Bitte halt mich nicht für total bescheuert :rolleyes: Ausprobieren ist schön gesagt, mach ich seit 2 Tagen :D
  10. meinst du unter Format des Antragsstellernamens? Da steht Allgemeiner Name drin... Problem?? ein message authenticator wäre mir neu. Also glaub ihn nicht gesetzt zu haben... Muss ich nachsehen ob der das unterstützt. Was würde der bewirken? Sonst im Bezug auf die Fehlermeldungen noch einen Einfall? Gruß Jürgen
  11. Entschuldige, wenn ich mich da etwas unverständlich formuliert habe! War nicht meine Absicht! ;-) Meine RAS-Richtline sieht so aus: Ich habe den Assistenten zur Erstellung einer neuen Richtlinie verwendet. Dort die Zugriffsmethode ausgewählt, anschließend Benutzergruppe ( in der sich der User befindet) und die Computergruppe hinzugefügt ( in der sich der PC befindet). Anschließend geschütztes EAP (also PEAP) ausgewählt, unter "Konfigurieren" nachgesehen ob mein Zertifikat drin steht (was es tut) und fertiggestellt. (Also die Bedingungen stehen somit auf "NAS-Port-Type stimmen überein mit "Ethernet" AND die 2 Gruppen...) Unter den Eigenschaften der Richtlinie hatte ich vorerst nichts eingestellt und es ausprobiert. Funktionierte nicht. Heut hatte ich bei Microsoft gelesen ich solle den Wert Ignor-User-Dial-In = Wahr setzen. Hatte dies ausprobiert, funktioniert auch nicht... Meinst du es liegt an der Richtlinienkonfiguration? Gruß Jürgen
  12. Eigentlich arbeite ich mit PEAP MSCHAP v2. Bin aber schwer am überlegen ob ich nicht auf EAP-TLS umsteigen soll.... Denn irgenwie finde ich den Fehler nicht! Hat eigentlich keinen besoneren Grund, bin nur was DNS etc angeht ziemlicher Anfänger... Weißt du mit PEAP MSCHAP v2 auch bescheid?
  13. Jetzt habe ich "nur noch" ein IAS-Problem: Leider kann ich mich mit meinem Client immer noch nicht authentifizieren. Dazu steht im Ereignisprotokoll: Information: Eine LDAP-Verbindung mit dem Domänencontroller AD.ebenbeck.local für die Domäne ebenbeck wurde hergestellt. Dann die Warnung: Benutzer "ebenbeck\test" wurde Zugriff verweigert. Vollqualifizierter Benutzername = ebenbeck\test NAS-IP-Adresse = 192.168.100.100 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = 00-60-EF-20-BF-85 Clientanzeigename = Cisco 3550 ( Authenticator ) Client-IP-Adresse = 192.168.100.100 NAS-Porttyp = Ethernet NAS-Port = 50017 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierungsserver = <unbestimmt> Richtlinien-Name = <unbestimmt> Authentifizierungstyp = EAP EAP-Typ = <unbestimmt> Code = 48 Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie Dann die Fehler: Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten. Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt. Zugriffsanforderung für Benutzer "ebenbeck\\test" wurde gelöscht. Vollqualifizierter Benutzername = ebenbeck\.local/Test-Gruppenrichtlinie/User/802.1x - Testuser NAS-IP-Adresse = 192.168.100.100 NAS-Kennung = <nicht vorhanden> ID der Empfängerstation = <nicht vorhanden> ID der Anrufstation = 00-60-EF-20-BF-85 Client-Name = Cisco 3550 ( Authenticator ) Client-IP-Adresse = 192.168.100.100 NAS-Porttyp = Ethernet NAS-Port = 50017 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierunsserver = <unbestimmt> Ursachencode = 1 Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
  14. Hi, also gestern hatte ich bemerkt, das der Eintrag meines PCs im DNS fehlte. Hab diesen eingetragen und es hat jetzt funktioniert. Die Gruppenrichtlinie hat nun gegriffen. Mein Client hat die IP statisch, soweit ich jetzt gelesen hab, trägt er sich nur automatisch ein, wenn er die IP vom DHCP bekommt. Richtig? Die Remote-Access fehler hab ich auch gefunden. Versehntlicher Weise war Routing und RAS aktiviert. Der PC verfügt über das Stammzerti der Stammzertifizierungsstelle (meiner offline RootCA) und der IAS ein Serverauthentifizierungszertifikat das auf Basis der RAS und IAS -Server Vorlage erstellt wurde. Dem KDC- und Kerberos - Fehler bin ich noch nicht auf die Schliche gekommen....
  15. Achja, portbasierende Authentifizierung heißt für mich Authentifizierung mit 802.1X und Zertifikaten (PEAP)
×
×
  • Neu erstellen...