Hippo 11 Geschrieben 3. Juli 2015 Melden Teilen Geschrieben 3. Juli 2015 (bearbeitet) Hallöchen, ich habe einen Netzwerkrichtlinienserver von einem 2008 DC auf eine 2012r2 umgezogen. Ich habe vom 2008 die Konfiguration exportiert und auf dem 2012 importiert. Anschließend habe ich meinen WLAN Accesspoint auf den 2012 umgestellt. Wenn ich mich jetzt mit dem WLAN verbinden will funktioniert es nicht. Im Ereignisprotokoll steht: "Es wurde eine "Access-Request"-Meldung vom RADIUS-Client IP-Adresse des Accespoints mit einem ungültigen "Message Authenticator"-Attribut empfangen.“ Im Netzwerkrichtlinienserver unter Radius-Client steht der Accesspoint natürlich drin und der Haken bei „Access-Request“-Meldungen müssen das Attribut …“ ist nicht gesetzt. Im Anwendungsprotokoll findet sich noch " Fehler bei der Verhandlung. Es sind keine EAP-Methoden verfügbar" Hat jemand eine Idee dazu, warum die Verbindung nicht hergestellt werden kann? Ok, ich habe wohl den Fehler gefunden, kann ihn nur noch nicht beheben :-( Wenn ich in den Netzwerkrichtlinien für das WLAN steht unter Einschränkungen - Authentifizierungsmethode - EAP-Typen "Microsoft: geschütztes EAP (PEAP). Will den Eintrag bearbeiten erscheint "Es konnte keine Zertifikat gefunden werden, das mit dem Extensible Authentification-Protokoll verwendet werden kann." Da müsste eigentlich das Zertifikat Servername.domäne.local stehen. Wie bekomme ich das Serverzertifikat hier herein? bearbeitet 3. Juli 2015 von Hippo Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. Juli 2015 Melden Teilen Geschrieben 4. Juli 2015 Moin, das Serverzertifikat kommt idealerweise von der einer Unternehmens CA. Woher stammt das Zertifikat des alten Radius/NPS? Zitieren Link zu diesem Kommentar
Hippo 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 Wir haben keine CA und die Einrichtung hat ein externen gemacht, den ich leider nicht mehr kontaktieren kann. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Dann weist Du jetzt warum man sich bei Übergabe eine Dokumentation aushändigen lässt ;) Erst mal die schlechte Nachricht: Ohne Zertifikat kein 802.1x und ohne PKI wird es noch viel lästiger und aufwändiger. Jetzt sollte überlegt werden: PKI oder weiter frickeln (Bedenken: die nächste Migration kommt bestimmt) Egal wie es weitergeht: die Clients müssen vermutlich alle mindestens ein mal per Kabel verbunden werden ... Nun gilt herauszufinden, wie das Zertifikat vom alten Radius an die Clients verteilt wurde. (z.Bsp. GPO, Skript, manuell) Das Zertifikat vom alten Radius sollte auf jeden Fall als nicht vertrauenswürdig eingestuft werden. Der Radius benötigt ein eigenes Zertifikat (für Serverauthentifizierung) - selbstsigniert oder aus einer PKI Ist es selbstsigniert, muss das Zertifikat des neuen Radius an alle Clients verteilt werden; kommt es aus einer PKI reicht es das Root Zertifikat zu verteilen - am einfachsten übers AD Vielleicht geht es schneller, wenn ihr euch einen Dienstleister sucht. Eine PKI stampft man nicht so eben aus dem Boden; selbstsignierte Zertifikate sind nur eine quick and dirty Lösung und verursachen am Ende nur mehr Aufwand. Zitieren Link zu diesem Kommentar
Hippo 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 Hallo Dunkelmann, danke für deine Einschätzung und Hilfe. Ich werde sehen was ich tun kann. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.