Jump to content

spyro-86

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    18

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von spyro-86

  2. Vlan

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo daking,

     

    das war genau das, wonach ich gesucht hab. Nur finde ich leider keine passende bzw. entsprechende Config-Anleitung/Beschreibung im Web...

     

    Hast du vielleicht einen brauchbaren Link? Oder ne Doku?

     

    Greetz,

    Spyro

  3. Vlan

    in Cisco Forum — Allgemein

    Geschrieben

    Hab mich vielleicht etwas unverständlich ausgedrückt.

     

    Ich will auf dem Switch 2 VLAN´s konfigurieren.

     

    1 VLAN, das ganz normal auf unser Netz zugriff hat und ein 2tes VLAN in dem sich nur die Leute innerhalb des Schulungsraum "sehen".

     

    Die Fremfirmenmitarbeiter können sich absichtlich nicht authentifizieren, da sie bei uns keinen Domänenaccount haben (802.1x EAP-PEAP mit MS-CHAPv2). Diese sollen dann vom Switch automatisch in das 2te VLAN verschoben werden.

     

    Firmenangehörige, die sich authentifizieren können, sollen in´s VLAN 1 "geschoben" werden...

     

    Ich hoffe ich konnte es etwas deutlicher darstellen...

     

    Greetz,

    spyro-86

  4. Vlan

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo,

     

    ich bin zur Zeit am Implementieren von 802.1x in einem unserer Schulungsräume ( zu Testzwecken). Dies setze ich mit einem Cat 3550 um. Prinzipiell funzt die Authentifizierung auch.

     

    Wie muss ich nun meinen Switch konfigurieren, damit ein "Fremdfirmen-Mitarbeiter", der sich nicht authentifizieren kann, in ein sperates VLAN verschoben wird?

     

    Bis dato hab ich noch keine VLAN´s auf dem Switch konfiguriert und ist auch überhaupt totales Neuland für mich. Würd mich über ein paar Antworten freuen :D

     

    Greetz,

    spyro-86

  5. 802.1x/RADIUS/CISCO CATAYLAYST/ Zertifikatsbasierend

    in Windows Forum — LAN & WAN

    Geschrieben

    Hi darkn8....

     

    vielen Dank für den Link! Hatte ich leider schon durchgegraben...

     

    Mein Client ist auch in der Domäne, das mit den v2 - Zertis über die Gruppenrichtline hatte ich auch gemacht....

     

    Jetzt hab ich endlich den Fehler gefunden!!

     

    Meine RAS-Richtlinie hatte ich auf eine Gruppe bezogen und das hat ihm anscheinend nicht gepasst. Jetzt hab ich sie auf Benutzer bezogen und mache die Zugriffsberechtigung über die Benutzerverwaltung im AD. Ich weiß zwar noch nicht warum er damit ein Problem hatte, aber Hauptsache es läuft jetzt endlich!!

     

    Weißt du zufällig ob es dafür auch ne Richtline gibt ( Einwählen "deaktiviert" ... )

     

    Gruß

    Jürgen

  6. SSL Problem

    in Windows Forum — LAN & WAN

    Geschrieben

    Hallo,

     

    ich hab im Event-log unter System meines Servers diesen Fehler:

     

    Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

     

     

    Diese taucht auf, sobald ich mich mit meinem XP - Client am RADIUS - Server authentifizieren möchte. Danach bekomm ich vom IAS nur noch Fehler und die Authentifizierung schlägt fehl.

     

    Weiß jemand von euch vielleicht woher der SSL - Fehler kommen könnte?

    Hab bis jetzt immer nur von Fehlern in Verbindung mit IIS oder Exchange gelesen...

     

    Wäre über Tips sehr dankbar.

     

    Greetz,

    Jürgen

  8. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Ich seh grad, DNS ist eh angehakt. Algemeiner Name steht oben in der Auswahl drin. Also hat sich das mit der Zertifikatsänderung wohl erledigt...

     

    öffnen sie Routing und RAS ... hab ich im Zusammenhang mit der RADIUS - Authentifizierung gelesen, weil ich überprüfuen wollte ob mein Server das Message Authenticator-Atribut gesetzt hat

     

    steht hier:

     

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5934dc6b-78ec-4d37-b45f-99754e506780.mspx?mfr=true

  11. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Entschuldige, wenn ich mich da etwas unverständlich formuliert habe!

    War nicht meine Absicht! ;-)

     

    Meine RAS-Richtline sieht so aus:

     

    Ich habe den Assistenten zur Erstellung einer neuen Richtlinie verwendet. Dort die Zugriffsmethode ausgewählt, anschließend Benutzergruppe ( in der sich der User befindet) und die Computergruppe hinzugefügt ( in der sich der PC befindet).

    Anschließend geschütztes EAP (also PEAP) ausgewählt, unter "Konfigurieren" nachgesehen ob mein Zertifikat drin steht (was es tut) und fertiggestellt.

     

     

    (Also die Bedingungen stehen somit auf "NAS-Port-Type stimmen überein mit "Ethernet" AND die 2 Gruppen...)

     

     

    Unter den Eigenschaften der Richtlinie hatte ich vorerst nichts eingestellt und es ausprobiert. Funktionierte nicht.

     

    Heut hatte ich bei Microsoft gelesen ich solle den Wert Ignor-User-Dial-In = Wahr setzen.

    Hatte dies ausprobiert, funktioniert auch nicht...

     

    Meinst du es liegt an der Richtlinienkonfiguration?

     

    Gruß

    Jürgen

  13. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Jetzt habe ich "nur noch" ein IAS-Problem:

     

    Leider kann ich mich mit meinem Client immer noch nicht authentifizieren.

     

    Dazu steht im Ereignisprotokoll:

     

    Information:

     

    Eine LDAP-Verbindung mit dem Domänencontroller AD.ebenbeck.local für die Domäne ebenbeck wurde hergestellt.

     

     

     

    Dann die Warnung:

     

    Benutzer "ebenbeck\test" wurde Zugriff verweigert.

    Vollqualifizierter Benutzername = ebenbeck\test

    NAS-IP-Adresse = 192.168.100.100

    NAS-Kennung = <nicht vorhanden>

    Kennung der Anrufstation = <nicht vorhanden>

    Kennung der Empfängerstation = 00-60-EF-20-BF-85

    Clientanzeigename = Cisco 3550 ( Authenticator )

    Client-IP-Adresse = 192.168.100.100

    NAS-Porttyp = Ethernet

    NAS-Port = 50017

    Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

    Authentifizierungsanbieter = Windows

    Authentifizierungsserver = <unbestimmt>

    Richtlinien-Name = <unbestimmt>

    Authentifizierungstyp = EAP

    EAP-Typ = <unbestimmt>

    Code = 48

    Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

     

    Dann die Fehler:

     

    Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten.

     

    Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.

     

    Zugriffsanforderung für Benutzer "ebenbeck\\test" wurde gelöscht.

    Vollqualifizierter Benutzername = ebenbeck\.local/Test-Gruppenrichtlinie/User/802.1x - Testuser

    NAS-IP-Adresse = 192.168.100.100

    NAS-Kennung = <nicht vorhanden>

    ID der Empfängerstation = <nicht vorhanden>

    ID der Anrufstation = 00-60-EF-20-BF-85

    Client-Name = Cisco 3550 ( Authenticator )

    Client-IP-Adresse = 192.168.100.100

    NAS-Porttyp = Ethernet

    NAS-Port = 50017

    Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

    Authentifizierungsanbieter = Windows

    Authentifizierunsserver = <unbestimmt>

    Ursachencode = 1

    Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

  14. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Hi,

     

    also gestern hatte ich bemerkt, das der Eintrag meines PCs im DNS fehlte. Hab diesen eingetragen und es hat jetzt funktioniert. Die Gruppenrichtlinie hat nun gegriffen.

    Mein Client hat die IP statisch, soweit ich jetzt gelesen hab, trägt er sich nur automatisch ein, wenn er die IP vom DHCP bekommt. Richtig?

     

    Die Remote-Access fehler hab ich auch gefunden. Versehntlicher Weise war Routing und RAS aktiviert.

     

    Der PC verfügt über das Stammzerti der Stammzertifizierungsstelle (meiner offline RootCA) und der IAS ein Serverauthentifizierungszertifikat das auf Basis der RAS und IAS -Server Vorlage erstellt wurde.

     

    Dem KDC- und Kerberos - Fehler bin ich noch nicht auf die Schliche gekommen.... :confused:

  16. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Also, mein aktueller Stand:

     

    Ich hab die Logs des Servers und des Clients durchgeforstet.... Ziemlich bunt :-/

     

    Ich will meine Zertifikate ja über ein Autoenrollment ( also über eine Gruppenrichtlinie verteielen). Leider hat mein Client bis dato nie ein Zertifikat bekommen.

     

    Als ich sie dann händisch importierte, funktionierte die Authentifizierung trotzdem nicht... Langsam bin etwas ratlos! Was ich feststellen konnte ist, dass die Richtlinie nicht greift, daran aber allem anschein nach mein AD schuld ist! Hier die Fehler:

     

    Des Clients ( direkt nach dem anmelden im Log):

     

    Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

     

     

    Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.

    Die Registrierung wird nicht durchgeführt.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter

     

    http://go.microsoft.com/fwlink/events.asp.

     

     

    Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

     

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

     

     

     

     

    Die des Servers:

     

    Gleich beim hochfaheren: Ein Dienst konnte nicht gestartet werden, bitte überprüfen sie die Ereignisanzeige ( oder so....)

     

    Beim nachsehen taucht dann auf:

     

    Der Dienst "Kerberos-Schlüsselverteilungscenter" wurde nicht ordnungsgemäß gestartet.

     

    obwohl der Dienst läuft, sich auch sauber beenden, neustarten etc. lässt...

     

    Außerdem:

    die Warnung:

     

    Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der öffentlichen Schlüsselinfrastruktur der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten.

     

     

    und 9x diese Warnung:

     

    Es konnte keine Verbindung zum DHCP-Server hergestellt werden. Die private IP-Adresse 169.254.140.175 wird Einwählclients automatisch zugewiesen. Clients können eventuell nicht auf Netzwerkressourcen zugreifen

     

    (nur halt mit unterschiedlichen Adressen) Das schöne ist, ich hab im Netz gar keinen DHCP...

     

     

    Weiß jemand von euch Rat???

  17. Problem bei portbasierender Authentifizierung

    in Windows Forum — LAN & WAN

    Geschrieben

    Hallo,

     

    ich hab da ein "kleines" Problem. Vielleicht kann mir jemand weiterhelfen:

     

    Ich versuche eine portbasierende Authentifizierung mit Windows 2003 (IAS) und einem Cisco Catalyst 3550 zu realisieren. Mein hauptsächliches Problem liegt (wars***einlich) an der Zertifizierung. Leider finde ich das Problem nicht, wieso ich mich mit meinem XP-Client nicht authentifizieren kann.

     

    Kann mir vielleicht jemand sagen, wie ich das genaue Problem herausfinden kann? Protokolle, log-files oder ähnliches?

     

    Ich wäre euch sehr zu dank verpflichtet! Leider weiß ich mir keinen Rat mehr....

     

     

    Mit freundlichen Grüßen,

    Jürgen

  18. 802.1x/RADIUS/CISCO CATAYLAYST/ Zertifikatsbasierend

    in Windows Forum — LAN & WAN

    Geschrieben

    Hallo erstmal,

     

    ich habe Prinzipiell den gleichen aufbau und auch Probleme mit er Zertifizierung.

     

    Verwende:

     

    Windows Server2003 Enterprise,

    Cisco Catalyst 3550 ( Radius-Client)

    Client mit XP Prof

     

    das verwendete Protokoll des Clients ist PEAP mit der Authentifizierungsmethode

    MSCHAP v2.

     

     

    Configuriert soweit ist:

     

    offline RootCA

    SubCA (EnterpriseCA)

    AD, IAS,

    Switch

    und Client

     

    Mein Problem ist nun, dass ich mich mit meinen Fachschriften bezüglich des Autoenrollments dauernd im Kreis drehe. Was genau muss ich nun kofigurieren, damit der Radius-Server und die Clients die benötigten Zertifikate bekommen?

     

    Auch die manuelle Zertifikatsanforderung vom Client aus funktioniert nicht, bekomme den Fehler: "Der Assistent kann nicht gestartet werden, da auf Active Directory nicht zugegriffen werden kann"

     

     

    Könnt ihr mir vielleicht weiterhelfen?

     

     

    Danke, Gruß

    Jürgen

×
×
  • Neu erstellen...