kayberlin 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Hallo erstmal! Im Zuge meines Abschlussprojektes stoße ich auf folgende Probleme: Ich habe einen WinServer 2003 dieser dient als DHCP und Radius Server. Darüber hinaus ist er DC meiner Testdomäne. Nun möchte ich über einen Cisco Catalyst 2950 den Client (Win XP prof.) dazu bringen sich über ein Zertifikat am Radius erver anzumelden. aktueller Stand: DC konfiguriert Radius Client angelegt(in diesem Fall der Switch) Kennwort für beide vergeben Client so wiet eingrichtet, dass er Anfrage sendet Nun zum Problem: Ich möchte die Authentifizierung über Zertifikate realisieren. Doch habe ich davon keine Ahnung. Es wäre nett, wenn mir jemand weiterhelfen könnte. Bei mir hackt es im Momment daran, dass ich zwar Zertifikate ausstellen kann, der CLient sie jedoch nicht bekommt und er somit nicht authentifizieren kann. Falls jemand schon mal so etwas gemacht hat, wäre ich über detailierte Hilfestellungen sehr dankbar. Vielen Dank schonmal...ist wichtig... Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 Hi, enterprise server? und windows CA? dann kannst du die zertifikate user und oder server/computer per GPO im ADS verteilen lassen. gruß kai Zitieren Link zu diesem Kommentar
kayberlin 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 ein wenig mehr informationen dazu wären nicht schlecht! danke, denn habe kaum ahnung von zertifikaten usw. danke Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 hi, der ist recht informativ . . . eigentlich fast alles zum ias! http://www.microsoft.com/technet/itsolutions/network/ias/default.mspx es gibt auch noch einen webcast zum thema ias auch sehr gut ich gucke mal ob ich den link noch finde! Zitieren Link zu diesem Kommentar
kayberlin 10 Geschrieben 18. April 2006 Autor Melden Teilen Geschrieben 18. April 2006 das kenn ich schon...danke! andere ideen? Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 erstmal der webcast http://support.microsoft.com/?scid=kb%3Ben-us%3B842439&x=15&y=17 auch schon angehört/angeguckt? Implemtierung einer PKI http://www.microsoft.com/germany/technet/datenbank/articles/600683.mspx ist es eine Enterprise Edition? Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 18. April 2006 Melden Teilen Geschrieben 18. April 2006 und hier ein auszug aus dem ersten link => ist doch ein relativ gutes how to dass auch auf die Zertifizierungsstelle eingeht ! http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20-4cef-9939-47c397ffd3dd&displaylang=en Zitieren Link zu diesem Kommentar
kayberlin 10 Geschrieben 19. April 2006 Autor Melden Teilen Geschrieben 19. April 2006 Hab nun Zertifizierungsstelle eingerichtet und die entsprechenden Zertifikate erstellt. Da ich von AD und GPO keine große Ahnung habe, wäre weitere Hilfe echt super! Ich weiß, das nervt, doch suche ich nach detailierter Anleitung für einen solchen Fall. Habe die Links schon durch gearbeitet und komme irgendwie nicht weiter! Der Client meint immer, er findet kein Zertifikat um sich zu authentifizieren. Danke Oder kann es auch am Switch liegen, dass er nicht richtig konfiguriert ist?# Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 19. April 2006 Melden Teilen Geschrieben 19. April 2006 ist es eine enterprise edition? das ist wichtig ! wie hast du die zertifikate installiert? gruß kai Zitieren Link zu diesem Kommentar
kayberlin 10 Geschrieben 19. April 2006 Autor Melden Teilen Geschrieben 19. April 2006 ja ist es! wieso ist das wichtig? Danke dir..schon mal Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 19. April 2006 Melden Teilen Geschrieben 19. April 2006 weil die zertifizierungstelle eines enterprise servers viele funktionen bietet die die standard version nicht unterstützt! grundsätzlich ist eine enterprise edition für eine CA immer die bessere wahl wenn man die möglichkeit hat! wie z.b. das auto enrollment von zertifikaten mithilfe einer gpo! also du hast jetzt ein zertifikat für den benutzer/computer und ias ras server erstellt? dann musst du in deiner group policy das autoenrollment einrichten! hier ein link, der das ganze nochmal genauer beschreibt. http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx#ETJAC du kannst die zertifikate auch manuell über den explorer anfordern! http:\\deinserver\certsrv.msc ob die zertifikate ausgestellt wurden siehst du in der CA unter "ausgestellte Zertifikate" oder am client indem du die mmc öffnest und das zertifikate snap-in hinzufügst! mfg kai Zitieren Link zu diesem Kommentar
spyro-86 10 Geschrieben 23. April 2006 Melden Teilen Geschrieben 23. April 2006 Hallo erstmal, ich habe Prinzipiell den gleichen aufbau und auch Probleme mit er Zertifizierung. Verwende: Windows Server2003 Enterprise, Cisco Catalyst 3550 ( Radius-Client) Client mit XP Prof das verwendete Protokoll des Clients ist PEAP mit der Authentifizierungsmethode MSCHAP v2. Configuriert soweit ist: offline RootCA SubCA (EnterpriseCA) AD, IAS, Switch und Client Mein Problem ist nun, dass ich mich mit meinen Fachschriften bezüglich des Autoenrollments dauernd im Kreis drehe. Was genau muss ich nun kofigurieren, damit der Radius-Server und die Clients die benötigten Zertifikate bekommen? Auch die manuelle Zertifikatsanforderung vom Client aus funktioniert nicht, bekomme den Fehler: "Der Assistent kann nicht gestartet werden, da auf Active Directory nicht zugegriffen werden kann" Könnt ihr mir vielleicht weiterhelfen? Danke, Gruß Jürgen Zitieren Link zu diesem Kommentar
darkn8 10 Geschrieben 30. April 2006 Melden Teilen Geschrieben 30. April 2006 hy... @spyro-86 die genaue vorgehensweise hier step-by-step zu beschreiben ginge zu weit, aber vielleicht hilft die das weiter: http://www.microsoft.com/germany/technet/datenbank/articles/900163.mspx grundsätzlich benötigst du für ein autoenroll v2-zertifikate, XP oder server2003-clients und eine gruppenrichtlinie die das autoenroll für user oder computer aktiviert. gruß daniel edit: zu deinem clientproblem... ist er domänenmitglied und kann er auf DNS zugreifen?? gruß daniel Zitieren Link zu diesem Kommentar
spyro-86 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Hi darkn8.... vielen Dank für den Link! Hatte ich leider schon durchgegraben... Mein Client ist auch in der Domäne, das mit den v2 - Zertis über die Gruppenrichtline hatte ich auch gemacht.... Jetzt hab ich endlich den Fehler gefunden!! Meine RAS-Richtlinie hatte ich auf eine Gruppe bezogen und das hat ihm anscheinend nicht gepasst. Jetzt hab ich sie auf Benutzer bezogen und mache die Zugriffsberechtigung über die Benutzerverwaltung im AD. Ich weiß zwar noch nicht warum er damit ein Problem hatte, aber Hauptsache es läuft jetzt endlich!! Weißt du zufällig ob es dafür auch ne Richtline gibt ( Einwählen "deaktiviert" ... ) Gruß Jürgen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.