Problem bei portbasierender Authentifizierung

[nouseforaname 10]

Message Authenticator-Attribut

 

Mit dem Message Authenticator-RADIUS-Attribute (auch digitale Signatur oder Signaturattribut genannt) stellen Sie sicher, dass eingehende Access-Request-RADIUS-Meldungen für Verbindungsanforderungen, die die Authentifizierungsprotokolle PAP, CHAP, MS-CHAP und MS-CHAP v2 verwenden, von einem RADIUS-Client mit dem entsprechenden gemeinsamen geheimen Schlüssel gesendet wurden. Sie müssen die Verwendung des Message Authenticator-Attributs sowohl auf dem IAS-Server (im Rahmen der Konfiguration des RADIUS-Clients im Internetauthentifizierungsdienst) als auch auf dem RADIUS-Client (dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie, ob der RADIUS-Client das Message Authenticator-Attribut unterstützt, bevor Sie dieses aktivieren. Für EAP wird das Message Authenticator-Attribut stets verwendet und muss nicht auf dem IAS-Server und dem Zugriffsserver aktiviert werden. Weitere Informationen finden Sie unter Bearbeiten der RADIUS-Clientkonfiguration.

 

Informationen zum Aktivieren des Message Authenticator-RADIUS-Attributs für den Zugriffsserver finden Sie in der entsprechenden Dokumentation für den Zugriffsserver. Für den Routing- und RAS-Dienst wird das Message Authenticator-RADIUS-Attribut beim Konfigurieren des RADIUS-Authentifizierungsanbieters in den Eigenschaften eines RADIUS-Servers aktiviert. Weitere Informationen finden Sie unter Verwenden der RADIUS-Authentifizierung.

 

quelle : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/bfa1451a-6f53-4792-98a0-00d10977fd2c.mspx?mfr=true

 

 

wenn du es nicht gesetzt hast kann es eigentlich auch keine probleme bereiten,

falls es im IAS eingerichtet ist aber es der switch nicht unterstüzt oder es nicht eingerichtet ist dann kann es zu problemen führen

 

 

versuch es beim zertifikat mal mit dem DNS namen => dafür musst du dass zertifikat neu zur verteilung raus geben => zertifikat neu anfordern entweder per gpo oder manuell

 

anschliessend client und server neu starten da sonst ein altes zertifikat aus dem cache benutzt werden kann

 

die Fehlermeldung ist so allgemein dass ich keine idee habe an was es exakt liegt da ist letztendlich probieren gefragt

 

edit: eine idee habe ich noch welche domänenfunktionsebene hast du eingestellt?

 

gruß

kai

[spyro-86 10]

Also meine Domänengesamtstuktur hab ich auf Win2000 pur hochgestuft.

Müsste eigentlich passen oder?

 

Das mit dem Zertifikat werde ich gleich mal testen.

 

 

Irgendwie steh ich heut aufm Schlauch! Was meinen "die" mit

" Öffnen Sie Routing und RAS. "

Bitte halt mich nicht für total bescheuert :rolleyes:

 

 

Ausprobieren ist schön gesagt, mach ich seit 2 Tagen :D

[nouseforaname 10]

win 2000 sollte passen

 

routing und ras öffnen in welchem zusammenhang wo hast du das gelesen?

 

gruß

kai

[spyro-86 10]

Ich seh grad, DNS ist eh angehakt. Algemeiner Name steht oben in der Auswahl drin. Also hat sich das mit der Zertifikatsänderung wohl erledigt...

 

öffnen sie Routing und RAS ... hab ich im Zusammenhang mit der RADIUS - Authentifizierung gelesen, weil ich überprüfuen wollte ob mein Server das Message Authenticator-Atribut gesetzt hat

 

steht hier:

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5934dc6b-78ec-4d37-b45f-99754e506780.mspx?mfr=true

[nouseforaname 10]

mhhh so wie ich das verstehe geht es nur darum remote einwahlen z.B. via vpn an einem radius server z.B. IAS zu authentifizieren. also ein vpn mit eap-tls zur authentifizierung.

 

einen direkten zusammenhang mit einer port security sehe ich da jetzt keinen!

 

gruß

kai

[spyro-86 10]

Irgendwie seh ich langsam schwarz für mein PEAP MS-CHAP v2

 

Sollte wohl besser doch auf EAP-TLS umsteigen...

 

Werd mich morgen auf alle Fälle noch etwas spielen und wieder melden!

 

Vielen Dank schon mal für deine Hilfe!! :thumb1:

 

 

Schönen Abend noch!

Gruß Jürgen