Schwogi 10 Geschrieben 24. Oktober 2006 Autor Melden Teilen Geschrieben 24. Oktober 2006 ok, also hat sich meine vermutung bestätigt. jetzt wär nur noch interessant, wie man das problem behebt d.h. welcher patch schuld daran ist. werd mal morgen mit einer frischen XPsp2 installation probieren und mich vortasten... thanks to daking für die definitive eingrenzung des problems! mfg Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 24. Oktober 2006 Melden Teilen Geschrieben 24. Oktober 2006 Hallo, kurze Anmerkung: -- 802.1X Traces (RAS Traces) Windows ==> cmd netsh>ras netsh ras>set tracing * enable ==>danach netsh ras>set tracing * disable short: netsh ras set tracing * enable netsh ras set tracing * disable Die Tracefiles werden unter %SYSTEMROOT%\tracing abgelegt. C:\WINDOWS\tracing>dir Verzeichnis von C:\WINDOWS\tracing 23.10.2006 22:03 <DIR> . 23.10.2006 22:03 <DIR> .. 23.10.2006 22:03 0 BAP.LOG 23.10.2006 22:03 0 conftsp.LOG 23.10.2006 22:39 124.371 EAPOL.LOG ==> 802.1X Messages 23.10.2006 22:03 0 FWCFG.LOG 23.10.2006 22:03 0 KMDDSP.LOG 23.10.2006 22:03 0 NDPTSP.LOG 23.10.2006 22:30 99.836 NETMAN.LOG 23.10.2006 22:30 57.840 NETSHELL.LOG 23.10.2006 22:03 0 PPP.LOG 23.10.2006 22:14 152 RASAPI32.LOG 23.10.2006 22:03 0 RASBACP.LOG 23.10.2006 22:03 0 RASCCP.LOG 23.10.2006 22:17 960 RASCHAP.LOG 23.10.2006 22:03 0 RASDLG.LOG 23.10.2006 22:03 0 RASEAP.LOG 23.10.2006 22:03 0 RASIPCP.LOG 23.10.2006 22:03 0 RASIPHLP.LOG 23.10.2006 22:03 0 RASMAN.LOG 23.10.2006 22:03 0 RASPAP.LOG 23.10.2006 22:03 0 RASSPAP.LOG 23.10.2006 22:03 0 RASTAPI.LOG 23.10.2006 22:03 0 RASTLS.LOG 23.10.2006 22:14 72.920 tapi32.LOG 23.10.2006 22:37 54.913 tapisrv.LOG 23.10.2006 22:39 302 Wlpolicy.LOG 23.10.2006 22:30 29.282 WZCDLG.LOG ==> Dialof für PW Eingabe ==> Die ganze dot1x Umgebung (WZC = Wireless Zero Config ..xx) ist scheinbar auf WLAN Umgebungen optimiert. Vielleicht ist dieses Setup für wired Umgebungen eher suboptimal.. Scheinbar poppt der User/Pass Dialog nicht automatisch auf (was scheinbar so gewollt ist!?). ==> Vielleicht können das die Windows Profs mal analysieren. Ciao Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 25. Oktober 2006 Melden Teilen Geschrieben 25. Oktober 2006 Der Cisco Support vermutete auch, dass es sich wohl um ein Windows Problem handelt. Auf eine detailliertere Antwort warten wir derzeit noch. Wir haben übrigens noch bemerkt, dass die Verzögerungen nur beim Systemneustart auftreten. Wenn man ein bereits laufendes System mit dem Netzwerk verbindet, wird der Request wie gewünscht beantwortet. Vielleicht startet ein Windows Dienst nicht schnell genug??? Carsten Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 25. Oktober 2006 Autor Melden Teilen Geschrieben 25. Oktober 2006 Hmm vielleicht hab ich doch zusätzlich ein anderes Problem auch noch: Dieses verhalten ist bei mir nicht der Fall: egal wie lange der client läuft (und auch ein user angemeldet ist) es dauert immer ca. 1 minute bis der pc eine ip adresse vom dhcp server bekommt. Ich verwendet 802.1x mit Zertifikaten (IAS und MS-CA im Hintergrund) Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 27. Oktober 2006 Melden Teilen Geschrieben 27. Oktober 2006 hola, willkommen im club.. bin aber nicht auf dem aktuellen xp patchlevel.. Ciao Zitieren Link zu diesem Kommentar
fcernik 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hi! Ich würde mal in der registry die Werte HKLM\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global DWORD: AuthMode=2 ( only Computer Authentication) à Nur das Computerkonto authentisiert sich am Netz. Es erfolgt keine weitere Auth. Des Users. DWORD: SupplicantMode=1 ( do not start EAPOL Comm) à Der Client wartet auf die Auth.aufforderung des Switches und beantwortet diese umgehend. testen... Der Switch selbst schickt von haus aus die EAPOL Messages bei Link up. Weiters mal die Timer vom Cisco einwenig runtersetzen... lg Florian Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Hola, Verhalten mit SupplicantMode=1: |Time | Cisco_12:0c:1a | Spanning-tree-(for-bridges)_03| Ibm_2d:50:31 | |1,075 | Request, Identity [ | |EAP: Request, Identity [RFC3748] | |(0) ------------------> (0) | | |7,234 | | Response, Identity |EAP: Response, Identity [RFC3748] | | |(0) <------------------ (0) | |7,243 | Request, MD5-Challe | |EAP: Request, MD5-Challenge [RFC3748] | |(0) ------------------> (0) | | |7,246 | | Response, MD5-Chall |EAP: Response, MD5-Challenge [RFC3748] | | |(0) <------------------ (0) | |7,264 | Success | | |EAP: Success | |(0) ------------------> (0) | | ==> 7 Sekunden! BIG THAKS to fcernik ==> Hervorragend! Ciao Thomas Zitieren Link zu diesem Kommentar
fcernik 10 Geschrieben 31. Oktober 2006 Melden Teilen Geschrieben 31. Oktober 2006 Bitte gerne... Ich bin selbst gerade am Testen und Einführen von Wired 802.1x... Falls du aus irgend einem Grund das Mac-Bypass Feature brauchst geht es auch aber in Summa dann ca 30 Sekunden. Weiter solltest du bei Notebooks aufpassen. Bei "aufwachen" aus dem Standby bzw Hibernate kann es hin und wieder zu Problemen kommen... Cheers Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 2. November 2006 Melden Teilen Geschrieben 2. November 2006 Das hatten wir auch schon probiert, hat aber leider das Problem, bei uns, nicht gelöst. :( Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 3. November 2006 Autor Melden Teilen Geschrieben 3. November 2006 @fcernik danke für die tipps, funktioniert zwar leider nocht nicht aber ich bin dran... weil du gerade geschrieben hast ihr führ auch wired 802.1x ein: was macht ihr mit den druckern? (eigenes vlan statisch?, mac access? oder mac-bypass?) mit welches cisco switches arbeitet ihr? mfg Zitieren Link zu diesem Kommentar
fcernik 10 Geschrieben 4. November 2006 Melden Teilen Geschrieben 4. November 2006 Hi! Mir machen statischen access mit 802.1x mit mac bypass. Die switches sind cat 2960 mit dem neusten ios. lg Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 10. November 2006 Autor Melden Teilen Geschrieben 10. November 2006 So Problem gelöst: "AuthMode"=dword:00000002 "SupplicantMode"=dword:00000003 dann passt alles. allerdings hab ich noch ein problem: Wenn ein Client in ins GästeLAN kommt weil er sich am IAS nicht authentifizieren kann, bekommt er vom DHCP im GästeLan eine IP Adresse aber Windows XP SP2 mit allen Updates meint: "Idetität wird bestätigt" und Symbol ist wie beim IP Adresse beziehen von DHCP + Rotes Fragezeichen. Kennt diese Problemetik wer? (hat mit den obigen RegistrySettings nichts zu tun da es auch auf einem "frischen"-XP passiert. mfg Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 10. November 2006 Melden Teilen Geschrieben 10. November 2006 Hallo, gibt es da eine Übersicht über die Werte und was die genau machen? Thanks Ciao Zitieren Link zu diesem Kommentar
Schwogi 10 Geschrieben 11. November 2006 Autor Melden Teilen Geschrieben 11. November 2006 Google ist dein freund ;-) Q. What is the purpose of the AuthMode registry value? A. The AuthMode registry value (found at HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters \General\Global\AuthMode) affects the behavior of computer authentication and user authentication. The AuthMode value can be set to the following: 0 - Computer authentication is performed when the wireless client computer is started. When a user logs in, if the computer authentication was successful, user authentication is not performed. This setting has been deprecated and its use is discouraged. This is the default setting for Windows XP with no service packs installed. 1 - Computer authentication is performed when the wireless client computer is started. When a user logs in, user authentication occurs. When the user logs out, computer authentication occurs. This is the default setting for Windows XP SP1, Windows XP SP2, and Windows Server 2003. 2 - Computer authentication is performed when the wireless client computer is started. User authentication is never performed. Q. What is the purpose of the SupplicantMode registry value? A. The SupplicantMode registry value (HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters \General\Global\SupplicantMode) affects the behavior of an 802.1X supplicant when sending EAP over LAN (EAPOL)-Start packets during 802.1X authentication. The SupplicantMode value can be set to the following: • 0 - Disable IEEE 802.1X operation. • 1 - Never send an EAPOL-Start packet. • 2 - Automatically determine when to initiate the transmission of EAPOL-Start packets. This is the default value for wired connections. • 3 - Send an EAPOL-Start message upon association to initiate the 802.1X authentication process, for compliance with the IEEE 802.1X specification. This is the default value for wireless connections. Zitieren Link zu diesem Kommentar
CarstenS72 10 Geschrieben 15. November 2006 Melden Teilen Geschrieben 15. November 2006 HURRA - LÖSUNG GEFUNDEN!!! mit einem Windows Patch ließ sich die Sache beheben: Hier der Artikel dazu: Microsoft Security Advisory (917021): Description of the Wi-Fi Protected Access 2 support for Wireless Group Policy in Windows XP Service Pack 2 Hier der Downloadlink: Download details: Update for Windows XP (KB917021) Bitte auf die richtige Sprache achten! Registry Parameter wie SupplicantMode oder AuthMode waren in unserem Fall dann auch nicht mehr nötig. Gruß Carsten Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.