Jump to content
Sign in to follow this  
Wisi

802.1x Authentifzierung schlägt fehl bei Authentifzierung via Computerkonto

Recommended Posts

Hallo zusammen,

 

habe heute mal ein bisschen "rumgespielt" um mal zu testen, wie in der vorhandenen Infrastruktur die Implementation von 802.1x geht.

 

Eingerichtet:

 

- Zertifikatsstelle auf dem 2003 DC

- Internetauthentifzierungsdienst

- HP ProCurve mit dem Connect zum Radius

 

Es funktioniert auch alles schon wunderbar, solange ich mich via Benutzer authentifziere.

 

Stelle ich nun bei meinem Testclient (Windows XP SP3) ein, dass er sich nicht via User, sondern via Computer authentifzieren soll (siehe How to enable computer-only authentication for an 802.1X-based network in Windows Vista, in Windows Server 2008, and in Windows XP Service Pack 3), dann habe ich ein Problem.

 

Ich sehe am IAS, dass die Anfrage über das Computerkonto geschieht und nicht mehr über das Benutzerkonto. Soweit so schön. Die Voraussetzung in der Ras Richtlinie (Zugehörigkeit zu einer Gruppe) ist auch erfüllt.

Jetzt prüft der Client aber das Zertifikat des Servers und läuft auf den Fehler 801 (Diese Verbindung ist für die Bestätigung der Identität des Zugriffservers konfiguriert. Es können jedoch keine vom Server gesendeten digitalen Zertifikate verifiziert werden.).

 

Jedoch kann das ja nicht sein, da es bei Authentifzierung über das Benutzerkonto perfekt läuft. Sonst müsste er da ja bei der Prüfung des Zertifikats auch schon meckern. Oder habe ich da was übersehen?

 

Wenn ich in der Authentifzierung "Serverzertifikat überprüfen" abschalte, funktioniert es auch wunderbar mit dem Computerkonto.

 

Aber ich will ja eigentlich zwingend die Gegenstelle prüfen um sicher zu gehen mit wem ich kommuniziere?

 

Hat wer das gleiche Problem schon gehabt oder eine Lösung? Logfiles etc. kann ich gerne liefern.

Share this post


Link to post

Hi...

 

Welche Vorlage hast Du denn für die Zertifikate benutzt? Serverzertifikat?

 

Und welches Zertifikat ist denn auf dem Client installiert? Computerzertifkikat mit dem Hostname des Clients?

 

Gruß

Thomas

Share this post


Link to post

hi

 

schön, dass jemand antwortet.

Genutzt wird derzeit das Standardzertifikat, welches eingerichtet wird bei Installation der Zertifikatsstelle (so schauen auch die Basic Howtos aus). Auf dem Client ist kein Zertifikat installiert, dort ist nur die entsprechende Stammzertifizierungsstelle installiert (passiert ja automatisch durch die Domäne).

 

Ich nutze PEAP ohne Zertifikat am Client. Das ganze funktioniert wie gesagt schon mit Benutzerauthentifizierung und Zertifikatsprüfung. Nur Computerauthentifizierung und Zertifikatsprüfung schlägt fehl mit dem Fehlercode 801.

Share this post


Link to post

So,

 

hatte das ganze in der Zwischenzeit mit Wlan verifizieren können. Der gleiche Fehler, nur die Meldungen in Windows sehen anders aus.

 

Hab dann das Stammstellen Zertifikat auf dem Client noch mal gelöscht und mir neu geholt über die certsrv Seite und nu gehts.

 

Ist also gelöst. Beruhigend, dass der Fehler nicht in der Konfiguration lag, sondern der Client sich wohl nur in irgendeiner Art und Weise an dem Stammstellen Zertifikat verschluckt hat.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...