CoolAce 17 Geschrieben 2. März 2015 Melden Teilen Geschrieben 2. März 2015 Hallo zusammen, ich hab ein Phänomen das ich nicht ganz verstehe und vielleicht hat jemand eine Idee, Erklärung oder Artikel für mich. Ich habe einen 2012 R2 Radius Server der Mitglieder einer Domäne ist und zur WLAN Absicherung dienst, es läuft alles wunderbar bis auf eine Netzwerkrichtlinie wo ein Windows 7 User sich nicht erfolgreich authentifizieren kann aber ein Win8.1 oder sogar Win10 Rechner schon. Die Clients sind alle nicht in der Domäne da es ja Gästeclients sind. Damit es erfolgreich ist muss der User in einer bestimmten Gruppe sein und Nas-Porttyp IEE802.11 sowie als Authentifzierungsmethode Microsoft : Geschütztes EAP und unten MS-CHAPv2 als einziges Ein Windows 7 Client, warum auch immer liefert auf dem Server folgenden Grund Netzwerkrichtlinienname: Gäste-Richtlinie Authentifizierungsanbieter: Windows Authentifizierungsserver: srvradius.domäne.lokal Authentifizierungstyp: PEAP EAP-Typ: - Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. Ursachencode: 265 Ursache: Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Bekannte Lösung: Es gibt eine Lösung die wie folgt in einem Artikel beschrieben ist, https://kb.meraki.com/knowledge_base/radius-using-certificates-with-ieee-8021x-authentication disable the validation of server certificates in Windows 7: Navigate to Control Panel > Network and Sharing Center > Manage wireless networks.Note: If presented with different options, switch from View by Categories to either small or large icons. Right-click the network in question and choose Properties. On the Security tab, click Settings. Along the top, uncheck the box for Validate server certificate.Note: This should only be done if the certificate is known and trusted. Die funktioniert auch soweit aber ich hätte gern das meine Gäste nicht sich das Netzwerk manuell einrichten müssen insbesondere weil es ja mit Win8.1 und Win10 funktioniert ohne diese Schritte. Was muss ich im Radius noch einstellen das es klappt oder was habe ich nicht verstanden? Gruß Coolace Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 2. März 2015 Melden Teilen Geschrieben 2. März 2015 Moin, das ist kein Radius-Problem. Der Client lehnt das Zertifikat vom Radiusserver ab. Der eleganteste Weg für Gastnetze ist ein SSL Zertifikat einer kommerziellen CA auf dem Radius zu verwenden. Alternativ könnten sich die Benutzer das Zertifikat der Root CA auf ihrem Gerät installieren. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 2. März 2015 Autor Melden Teilen Geschrieben 2. März 2015 Vielen Dank für deine Antwort. Ich habe leider kein kommerzielles CA hierfür, das komische ist wenn ich es mit einem Handy mache kann ich das Zertifikat akzeptieren, unter Win8.1 geht es auch ohne Probleme nur Win 7 nicht, gibt es irgendwas damit der User manuell das Zertifikat akzeptieren kann ? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. März 2015 Melden Teilen Geschrieben 2. März 2015 Was spricht dagegen, ein öffentliches SSL-Zertifikat dazu zu nehmen? BTW: Dass Du CALs für die Gäste brauchst, weißt Du? Siehe http://www.mcseboard.de/topic/202374-microsoft-technet-licensing-howto-blog/ Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. März 2015 Melden Teilen Geschrieben 3. März 2015 Das Problem mit Gastgeräten ist, dass Du nie vorhersehen kannst, was für ein Gerät in welcher Konfiguration, mit welcher Sicherheitssoftware, mit welchen Tuning Tools usw. ins Netz möchte. Du kannst nur auf Deiner Seite die Stör- bzw. Fehlerquellen minimieren. Ein SSL Zertifikat gibt es schon für ein paar Euro und Du sparst Dir jede Menge Kopfschmerzen und Diskussionen mit den Gästen. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 3. März 2015 Autor Melden Teilen Geschrieben 3. März 2015 Guten Morgen erstmal vielen Dank für die zahlreiche Unterstützung. Das mit den Lizenzen habe ich berücksichtigt da ich vor 1 Woche Ihren Beitrag gelesen habe und wahrscheinlich wie einige andere auch überrascht waren, aber man lernt nie aus. Wenn ich das mit den Zertifikaten richtig im Kopf habe so müsste ich den Namen im Alternativen Antragssteller Bereich eintragen ? Wo im Radius Server müsste ich das Zertifikat dann einbinden ? Gruß Coolace Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. März 2015 Melden Teilen Geschrieben 3. März 2015 Das Zertifikat wird auf den FQDN des Radius ausgestellt. In den Richtlinien, bei der Authentifizierungseinstellungen (da wo PEAP/MS-CHAPv2 konfiguriert ist) kannst Du festlegen, welches Zertifikat der Radius für die gesicherte Verbindung nutzen soll. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 4. März 2015 Autor Melden Teilen Geschrieben 4. März 2015 OK, perfekt, vielen Dank. Ich habe hierzu noch eine Frage, kann ich hierzu ein Wildcard Zertifikat *.Domäne.com nehmen wo aber als alternativer Antragssteller nicht der Server drin steht ? So eins hätte ich Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2015 Melden Teilen Geschrieben 4. März 2015 Wer oder was hindert Dich, es zu probieren? Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 5. März 2015 Autor Melden Teilen Geschrieben 5. März 2015 Guten Morgen, vielen Dank, ich habe es ausprobiert und es funktioniert leider nicht :-( Ich erhalte folgende Fehlermeldung. Der Client ist ein Win7 Professional Client wo nur die Windows 7 CD eingelegt worden ist und einmal die Installation durchgelaufen ist, es wurde nichts sonst installiert, keine Patche oder Software oder sonstiges, eine absolute Grundinstallation. Am Radiusserver gibt es eine einzige Netzwerkrichtlinie, mehr nicht. In der ist als Authentifzierungsmethode folgendes eingestellt: Microsoft: Geschützes EAP(PEAP) --> public Zertifikat mit *.Domäne.com ausgewählt nicht Radiusserver PKI zusätzliche Haken bei MS-CHAP-v2 und MS-CHAP Es kommt am Radius Server folgender Fehler Authentifizierungstyp: EAP EAP-Typ: - Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. Ursachencode: 22 Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. Was habe ich übersehen oder hab ich einen Verständnisfehler ? Gruß Coolace Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. März 2015 Melden Teilen Geschrieben 5. März 2015 (bearbeitet) Nach welcher Anleitung gehst DU eigentlich bei der Konfiguration vor? Click & Try? ;-) Ist das Zertifikat denn von einer CA, der Windows 7 vertraut? Ist das Zertifikat zusammen mit eventuell notwendigen Intermediate Certificates korrekt auf dem Server im Personal Certificate Store installiert? Verfügt das Zertifikat über die richtigen Einträge (Antragstellername enthält einen Wert, ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet, besteht alle Überprüfungen, die von der CryptoAPI-Funktion ausgeführt werden und in der RAS-Richtlinie angegeben sind, hat EKU-Erweiterungen (Extended Key Usage, erweiterte Schlüsselverwendung) mit dem Zweck Serverauthentifizierung konfiguriert, etc.)? Probier erst mal das Zertifikat auf einer Webseite auf dem Server aus. Kann der Client diese Seite ohne Fehlermeldung im Browser öffnen? Siehe dazu auch Zertifikatanforderungen für PEAP und EAP, Prüfliste: Konfigurieren des Netzwerkrichtlinienservers für den sicheren Drahtloszugriff, IEEE 802.11 Wireless LAN Security with Microsoft Windows und Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab. Ich hatte für frühere Windows-Versionen das mal als TechNet Webcast: Drahtlose Netzwerke absichern mit Windows Server 2003 - WLAN-Sicherheit mit Windows-Bordmitteln (Level 300) (2005-11-24) gezeigt. Vieles von dem ist heute noch gültig, da die Technologien dahinter die gleichen sind: http://blogs.technet.com/b/dmelanchthon/archive/2005/11/24/heutiger-webcast-zum-wireless-lan-security.aspx Have fun!Daniel bearbeitet 5. März 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 5. März 2015 Autor Melden Teilen Geschrieben 5. März 2015 Vielen Dank Herr Melanchthon für die zahlreichen Links, ich werde die durcharbeiten. Ich gehe nach dem was ich im TechNet finde und aus früheren Erfahrungen mit dem Produkt habe, so eine direkte Anleitung habe ich nicht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.