spyro-86

Weiß nicht wie das funktioniert. Muss ich erst 2 VLAN´s definieren und dann das Guest-VLAN über dot1x konfigurieren?

Hallo daking, das war genau das, wonach ich gesucht hab. Nur finde ich leider keine passende bzw. entsprechende Config-Anleitung/Beschreibung im Web... Hast du vielleicht einen brauchbaren Link? Oder ne Doku? Greetz, Spyro

Hab mich vielleicht etwas unverständlich ausgedrückt. Ich will auf dem Switch 2 VLAN´s konfigurieren. 1 VLAN, das ganz normal auf unser Netz zugriff hat und ein 2tes VLAN in dem sich nur die Leute innerhalb des Schulungsraum "sehen". Die Fremfirmenmitarbeiter können sich absichtlich nicht authentifizieren, da sie bei uns keinen Domänenaccount haben (802.1x EAP-PEAP mit MS-CHAPv2). Diese sollen dann vom Switch automatisch in das 2te VLAN verschoben werden. Firmenangehörige, die sich authentifizieren können, sollen in´s VLAN 1 "geschoben" werden... Ich hoffe ich konnte es etwas deutlicher darstellen... Greetz, spyro-86

Hallo, ich bin zur Zeit am Implementieren von 802.1x in einem unserer Schulungsräume ( zu Testzwecken). Dies setze ich mit einem Cat 3550 um. Prinzipiell funzt die Authentifizierung auch. Wie muss ich nun meinen Switch konfigurieren, damit ein "Fremdfirmen-Mitarbeiter", der sich nicht authentifizieren kann, in ein sperates VLAN verschoben wird? Bis dato hab ich noch keine VLAN´s auf dem Switch konfiguriert und ist auch überhaupt totales Neuland für mich. Würd mich über ein paar Antworten freuen :D Greetz, spyro-86

Hi darkn8.... vielen Dank für den Link! Hatte ich leider schon durchgegraben... Mein Client ist auch in der Domäne, das mit den v2 - Zertis über die Gruppenrichtline hatte ich auch gemacht.... Jetzt hab ich endlich den Fehler gefunden!! Meine RAS-Richtlinie hatte ich auf eine Gruppe bezogen und das hat ihm anscheinend nicht gepasst. Jetzt hab ich sie auf Benutzer bezogen und mache die Zugriffsberechtigung über die Benutzerverwaltung im AD. Ich weiß zwar noch nicht warum er damit ein Problem hatte, aber Hauptsache es läuft jetzt endlich!! Weißt du zufällig ob es dafür auch ne Richtline gibt ( Einwählen "deaktiviert" ... ) Gruß Jürgen

Hallo, ich hab im Event-log unter System meines Servers diesen Fehler: Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Diese taucht auf, sobald ich mich mit meinem XP - Client am RADIUS - Server authentifizieren möchte. Danach bekomm ich vom IAS nur noch Fehler und die Authentifizierung schlägt fehl. Weiß jemand von euch vielleicht woher der SSL - Fehler kommen könnte? Hab bis jetzt immer nur von Fehlern in Verbindung mit IIS oder Exchange gelesen... Wäre über Tips sehr dankbar. Greetz, Jürgen

Irgendwie seh ich langsam schwarz für mein PEAP MS-CHAP v2 Sollte wohl besser doch auf EAP-TLS umsteigen... Werd mich morgen auf alle Fälle noch etwas spielen und wieder melden! Vielen Dank schon mal für deine Hilfe!! :thumb1: Schönen Abend noch! Gruß Jürgen

Ich seh grad, DNS ist eh angehakt. Algemeiner Name steht oben in der Auswahl drin. Also hat sich das mit der Zertifikatsänderung wohl erledigt... öffnen sie Routing und RAS ... hab ich im Zusammenhang mit der RADIUS - Authentifizierung gelesen, weil ich überprüfuen wollte ob mein Server das Message Authenticator-Atribut gesetzt hat steht hier: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5934dc6b-78ec-4d37-b45f-99754e506780.mspx?mfr=true

Also meine Domänengesamtstuktur hab ich auf Win2000 pur hochgestuft. Müsste eigentlich passen oder? Das mit dem Zertifikat werde ich gleich mal testen. Irgendwie steh ich heut aufm Schlauch! Was meinen "die" mit " Öffnen Sie Routing und RAS. " Bitte halt mich nicht für total bescheuert :rolleyes: Ausprobieren ist schön gesagt, mach ich seit 2 Tagen :D

meinst du unter Format des Antragsstellernamens? Da steht Allgemeiner Name drin... Problem?? ein message authenticator wäre mir neu. Also glaub ihn nicht gesetzt zu haben... Muss ich nachsehen ob der das unterstützt. Was würde der bewirken? Sonst im Bezug auf die Fehlermeldungen noch einen Einfall? Gruß Jürgen

Entschuldige, wenn ich mich da etwas unverständlich formuliert habe! War nicht meine Absicht! ;-) Meine RAS-Richtline sieht so aus: Ich habe den Assistenten zur Erstellung einer neuen Richtlinie verwendet. Dort die Zugriffsmethode ausgewählt, anschließend Benutzergruppe ( in der sich der User befindet) und die Computergruppe hinzugefügt ( in der sich der PC befindet). Anschließend geschütztes EAP (also PEAP) ausgewählt, unter "Konfigurieren" nachgesehen ob mein Zertifikat drin steht (was es tut) und fertiggestellt. (Also die Bedingungen stehen somit auf "NAS-Port-Type stimmen überein mit "Ethernet" AND die 2 Gruppen...) Unter den Eigenschaften der Richtlinie hatte ich vorerst nichts eingestellt und es ausprobiert. Funktionierte nicht. Heut hatte ich bei Microsoft gelesen ich solle den Wert Ignor-User-Dial-In = Wahr setzen. Hatte dies ausprobiert, funktioniert auch nicht... Meinst du es liegt an der Richtlinienkonfiguration? Gruß Jürgen

Eigentlich arbeite ich mit PEAP MSCHAP v2. Bin aber schwer am überlegen ob ich nicht auf EAP-TLS umsteigen soll.... Denn irgenwie finde ich den Fehler nicht! Hat eigentlich keinen besoneren Grund, bin nur was DNS etc angeht ziemlicher Anfänger... Weißt du mit PEAP MSCHAP v2 auch bescheid?

Jetzt habe ich "nur noch" ein IAS-Problem: Leider kann ich mich mit meinem Client immer noch nicht authentifizieren. Dazu steht im Ereignisprotokoll: Information: Eine LDAP-Verbindung mit dem Domänencontroller AD.ebenbeck.local für die Domäne ebenbeck wurde hergestellt. Dann die Warnung: Benutzer "ebenbeck\test" wurde Zugriff verweigert. Vollqualifizierter Benutzername = ebenbeck\test NAS-IP-Adresse = 192.168.100.100 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = 00-60-EF-20-BF-85 Clientanzeigename = Cisco 3550 ( Authenticator ) Client-IP-Adresse = 192.168.100.100 NAS-Porttyp = Ethernet NAS-Port = 50017 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierungsserver = <unbestimmt> Richtlinien-Name = <unbestimmt> Authentifizierungstyp = EAP EAP-Typ = <unbestimmt> Code = 48 Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie Dann die Fehler: Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten. Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt. Zugriffsanforderung für Benutzer "ebenbeck\\test" wurde gelöscht. Vollqualifizierter Benutzername = ebenbeck\.local/Test-Gruppenrichtlinie/User/802.1x - Testuser NAS-IP-Adresse = 192.168.100.100 NAS-Kennung = <nicht vorhanden> ID der Empfängerstation = <nicht vorhanden> ID der Anrufstation = 00-60-EF-20-BF-85 Client-Name = Cisco 3550 ( Authenticator ) Client-IP-Adresse = 192.168.100.100 NAS-Porttyp = Ethernet NAS-Port = 50017 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierunsserver = <unbestimmt> Ursachencode = 1 Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

Hi, also gestern hatte ich bemerkt, das der Eintrag meines PCs im DNS fehlte. Hab diesen eingetragen und es hat jetzt funktioniert. Die Gruppenrichtlinie hat nun gegriffen. Mein Client hat die IP statisch, soweit ich jetzt gelesen hab, trägt er sich nur automatisch ein, wenn er die IP vom DHCP bekommt. Richtig? Die Remote-Access fehler hab ich auch gefunden. Versehntlicher Weise war Routing und RAS aktiviert. Der PC verfügt über das Stammzerti der Stammzertifizierungsstelle (meiner offline RootCA) und der IAS ein Serverauthentifizierungszertifikat das auf Basis der RAS und IAS -Server Vorlage erstellt wurde. Dem KDC- und Kerberos - Fehler bin ich noch nicht auf die Schliche gekommen....

Achja, portbasierende Authentifizierung heißt für mich Authentifizierung mit 802.1X und Zertifikaten (PEAP)

Also, mein aktueller Stand: Ich hab die Logs des Servers und des Clients durchgeforstet.... Ziemlich bunt :-/ Ich will meine Zertifikate ja über ein Autoenrollment ( also über eine Gruppenrichtlinie verteielen). Leider hat mein Client bis dato nie ein Zertifikat bekommen. Als ich sie dann händisch importierte, funktionierte die Authentifizierung trotzdem nicht... Langsam bin etwas ratlos! Was ich feststellen konnte ist, dass die Richtlinie nicht greift, daran aber allem anschein nach mein AD schuld ist! Hier die Fehler: Des Clients ( direkt nach dem anmelden im Log): Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp. Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. Die Registrierung wird nicht durchgeführt. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Die des Servers: Gleich beim hochfaheren: Ein Dienst konnte nicht gestartet werden, bitte überprüfen sie die Ereignisanzeige ( oder so....) Beim nachsehen taucht dann auf: Der Dienst "Kerberos-Schlüsselverteilungscenter" wurde nicht ordnungsgemäß gestartet. obwohl der Dienst läuft, sich auch sauber beenden, neustarten etc. lässt... Außerdem: die Warnung: Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der öffentlichen Schlüsselinfrastruktur der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten. und 9x diese Warnung: Es konnte keine Verbindung zum DHCP-Server hergestellt werden. Die private IP-Adresse 169.254.140.175 wird Einwählclients automatisch zugewiesen. Clients können eventuell nicht auf Netzwerkressourcen zugreifen (nur halt mit unterschiedlichen Adressen) Das schöne ist, ich hab im Netz gar keinen DHCP... Weiß jemand von euch Rat???

Hallo, ich hab da ein "kleines" Problem. Vielleicht kann mir jemand weiterhelfen: Ich versuche eine portbasierende Authentifizierung mit Windows 2003 (IAS) und einem Cisco Catalyst 3550 zu realisieren. Mein hauptsächliches Problem liegt (wars***einlich) an der Zertifizierung. Leider finde ich das Problem nicht, wieso ich mich mit meinem XP-Client nicht authentifizieren kann. Kann mir vielleicht jemand sagen, wie ich das genaue Problem herausfinden kann? Protokolle, log-files oder ähnliches? Ich wäre euch sehr zu dank verpflichtet! Leider weiß ich mir keinen Rat mehr.... Mit freundlichen Grüßen, Jürgen

Hallo erstmal, ich habe Prinzipiell den gleichen aufbau und auch Probleme mit er Zertifizierung. Verwende: Windows Server2003 Enterprise, Cisco Catalyst 3550 ( Radius-Client) Client mit XP Prof das verwendete Protokoll des Clients ist PEAP mit der Authentifizierungsmethode MSCHAP v2. Configuriert soweit ist: offline RootCA SubCA (EnterpriseCA) AD, IAS, Switch und Client Mein Problem ist nun, dass ich mich mit meinen Fachschriften bezüglich des Autoenrollments dauernd im Kreis drehe. Was genau muss ich nun kofigurieren, damit der Radius-Server und die Clients die benötigten Zertifikate bekommen? Auch die manuelle Zertifikatsanforderung vom Client aus funktioniert nicht, bekomme den Fehler: "Der Assistent kann nicht gestartet werden, da auf Active Directory nicht zugegriffen werden kann" Könnt ihr mir vielleicht weiterhelfen? Danke, Gruß Jürgen