IAS auf neuem Server

[CasaGrande 10]

Hallo Forum.

 

Folgende Problematik:

In einer Domäne (w2k und W2k3) war ein W2000-Server mit Internetauthentifizierungsdienst (IAS) als DC.

Dieser regelte die Authentifizierung der Anwender, welche sich über ein VPN einwählen.

Das ganze läuft über einen Cisco-Client durch eine Cisco-Pix.

Jetzt ist dieser Server "abgeraucht".

Nun soll einer der W2k3-Server seinen Job übernehmen.

IAS installiert und konfiguriert (Auth. unverschlüsselt über PAp+Spap, Richtlinie wie im alten Server, Client...).

Funktioniert nicht !!

In der Pix ist die IP des neuen Servers angegeben.

Der Vpn-Client meldet "user authentcation failed".

 

Leider habe ich von dieser Materie nicht allzu viel Ahnung.

Brauche ich noch einen Dienst ?

 

Grüße an Alle

[Velius 10]

Hast du auf dem IAS die Protokollierung aktiviert?

[weg5st0 10]

Im Eventlog müssten Hinweise dazu stehen.

Wenn der "falsche" Username angemeckert wird, und hier ein Fehler auszuschliessen ist, haut meist was mit dem Kennwort zwischen IAS und PIX nicht hin.

[nouseforaname 10]

Hi,

 

wie schauen die RAS-Richtlinien aus?

 

mfg

kai

[Velius 10]

Im Eventlog müssten Hinweise dazu stehen.

Wenn der "falsche" Username angemeckert wird, und hier ein Fehler auszuschliessen ist, haut meist was mit dem Kennwort zwischen IAS und PIX nicht hin.

 

Die Prokollierung ist aber genauer als die Eventlogs.

 

@CasaGrande

Einfach anschalten und mal posten was da so geht, oder Fragen wie man das macht!;)

[CasaGrande 10]

Die Protokollierung ist aktiviert. Heute Früh hatte ich 'mal nachgesehen, konnte aber nichts

Auffälliges entdecken. Ich kann das Protokoll erst nächste Woche wieder einsehen. Dann könnte ich evtl. einen Ausschnitt posten.

 

In der RAS-Richtlinie (nur eine) ist konfiguriert:

Windows-Groups stimmen überein mit "Gruppenname".

RAS-Berechtigung erteilt.

Profil bearbeiten - Authentifizierung - alles angehakt ausser "nicht authentifizierter Zugriff".

Profil bearbeiten - Verschlüsselung - alles angehakt.

Den Rest habe ich nicht verändert.

 

 

Der IPSec-Log-Viewer vom Cisco-Client Meldet:

 

1 16:40:11.631 09/22/06 Sev=Warning/3 IKE/0xE3000061

The XAUTH authentication failed.

 

2 16:40:16.272 09/22/06 Sev=Warning/3 DIALER/0xE3300008

GI VPNStart callback failed "CM_IKE_ESTABLISH_FAILED_AUTH" (19h).

 

Gruß an Alle.

[Velius 10]

Und was steht denn im Protokoll? Das Verzeichnis siehst du im IAS Snap-in, müsste glaube ich %systemroot%\windows32\logfiles sein.

 

Tippe auch drauf, dass das RADIUS Server-Client Passwort nicht stimmt. Am besten auf der PIX und dem IAS neu eingeben.

[CasaGrande 10]

@Velius

 

Ich weiss nicht mehr genau, was im Protokoll steht. Am Montag kann ich wieder an den Server ran.

 

Danke und bis dann.

[nobex 10]

Hallo,

 

hast Du den Router auch als Radius-Client im IAS bekannt gemacht?

 

Gruß Robert

[CasaGrande 10]

Ich habe das Kennwort auf IAS und Pix neu eingetragen. Läuft !!

 

Vielen Dank an Euch.

 

CasaGrande

 

 

P.S. Ohne dieses Forum wäre Einiges weitaus schwieriger. ;)