802.1x Authentifzierung schlägt fehl bei Authentifzierung via Computerkonto

[Wisi 12]

Hallo zusammen,

 

habe heute mal ein bisschen "rumgespielt" um mal zu testen, wie in der vorhandenen Infrastruktur die Implementation von 802.1x geht.

 

Eingerichtet:

 

- Zertifikatsstelle auf dem 2003 DC

- Internetauthentifzierungsdienst

- HP ProCurve mit dem Connect zum Radius

 

Es funktioniert auch alles schon wunderbar, solange ich mich via Benutzer authentifziere.

 

Stelle ich nun bei meinem Testclient (Windows XP SP3) ein, dass er sich nicht via User, sondern via Computer authentifzieren soll (siehe How to enable computer-only authentication for an 802.1X-based network in Windows Vista, in Windows Server 2008, and in Windows XP Service Pack 3), dann habe ich ein Problem.

 

Ich sehe am IAS, dass die Anfrage über das Computerkonto geschieht und nicht mehr über das Benutzerkonto. Soweit so schön. Die Voraussetzung in der Ras Richtlinie (Zugehörigkeit zu einer Gruppe) ist auch erfüllt.

Jetzt prüft der Client aber das Zertifikat des Servers und läuft auf den Fehler 801 (Diese Verbindung ist für die Bestätigung der Identität des Zugriffservers konfiguriert. Es können jedoch keine vom Server gesendeten digitalen Zertifikate verifiziert werden.).

 

Jedoch kann das ja nicht sein, da es bei Authentifzierung über das Benutzerkonto perfekt läuft. Sonst müsste er da ja bei der Prüfung des Zertifikats auch schon meckern. Oder habe ich da was übersehen?

 

Wenn ich in der Authentifzierung "Serverzertifikat überprüfen" abschalte, funktioniert es auch wunderbar mit dem Computerkonto.

 

Aber ich will ja eigentlich zwingend die Gegenstelle prüfen um sicher zu gehen mit wem ich kommuniziere?

 

Hat wer das gleiche Problem schon gehabt oder eine Lösung? Logfiles etc. kann ich gerne liefern.

[tomvo 10]

Hi...

 

Welche Vorlage hast Du denn für die Zertifikate benutzt? Serverzertifikat?

 

Und welches Zertifikat ist denn auf dem Client installiert? Computerzertifkikat mit dem Hostname des Clients?

 

Gruß

Thomas

[Wisi 12]

hi

 

schön, dass jemand antwortet.

Genutzt wird derzeit das Standardzertifikat, welches eingerichtet wird bei Installation der Zertifikatsstelle (so schauen auch die Basic Howtos aus). Auf dem Client ist kein Zertifikat installiert, dort ist nur die entsprechende Stammzertifizierungsstelle installiert (passiert ja automatisch durch die Domäne).

 

Ich nutze PEAP ohne Zertifikat am Client. Das ganze funktioniert wie gesagt schon mit Benutzerauthentifizierung und Zertifikatsprüfung. Nur Computerauthentifizierung und Zertifikatsprüfung schlägt fehl mit dem Fehlercode 801.

[Wisi 12]

So,

 

hatte das ganze in der Zwischenzeit mit Wlan verifizieren können. Der gleiche Fehler, nur die Meldungen in Windows sehen anders aus.

 

Hab dann das Stammstellen Zertifikat auf dem Client noch mal gelöscht und mir neu geholt über die certsrv Seite und nu gehts.

 

Ist also gelöst. Beruhigend, dass der Fehler nicht in der Konfiguration lag, sondern der Client sich wohl nur in irgendeiner Art und Weise an dem Stammstellen Zertifikat verschluckt hat.