4
Server 2008 Radius bestimmte Geräte sperren
Hallo,
habe schon bereits ein Problem mit dem Radius NPS Dienst unter Server 2008 gehabt.
Was jetzt soweit funktioniert ist, dass wenn man sich im WLAN anmelden möchte dies über Benutzername und Kennwort zu tun. Die Benutzerdatenbank wurde vom aktuellen Domaincontroller integriert.
Jetzt soll die ganze Geschichte weiter gehen. Das Problem was sich jetzt rausstellt ist das ja jeder sich mit einem beliebigen Notebook, PC etc. anmelden kann wenn er seinen Benutzernamen und Kennwort eingibt.
Jetzt sollen die Geräte (notebooks und pcs) zusätzlich authentifiziert werden. Es soll also nur mit bestimmten Laptops und Computern am radius angemeldet werden können wenn diese authentifiziert wurden.
Vielleicht hat da ja jemand ne Lösung. Es gibt ja die Möglichkeit nur verschiedene Computergruppen nur zuzulassen leider klappt dies nicht so ganz. Vielleicht hat ja jemand einen Lösungsansatz!
Eingesetzt wird Microsoft Server 2008.
Danke!
habe schon bereits ein Problem mit dem Radius NPS Dienst unter Server 2008 gehabt.
Was jetzt soweit funktioniert ist, dass wenn man sich im WLAN anmelden möchte dies über Benutzername und Kennwort zu tun. Die Benutzerdatenbank wurde vom aktuellen Domaincontroller integriert.
Jetzt soll die ganze Geschichte weiter gehen. Das Problem was sich jetzt rausstellt ist das ja jeder sich mit einem beliebigen Notebook, PC etc. anmelden kann wenn er seinen Benutzernamen und Kennwort eingibt.
Jetzt sollen die Geräte (notebooks und pcs) zusätzlich authentifiziert werden. Es soll also nur mit bestimmten Laptops und Computern am radius angemeldet werden können wenn diese authentifiziert wurden.
Vielleicht hat da ja jemand ne Lösung. Es gibt ja die Möglichkeit nur verschiedene Computergruppen nur zuzulassen leider klappt dies nicht so ganz. Vielleicht hat ja jemand einen Lösungsansatz!
Eingesetzt wird Microsoft Server 2008.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 138265
Url: https://administrator.de/contentid/138265
Printed on: April 25, 2024 at 13:04 o'clock
4 Comments
Latest comment
Was klappt denn bei der Einschränkung auf Computergruppen nicht? Denn das wäre genau das richtige für Deinen Fall. MAC-Adressen allein sind eben doch leicht zu fälschen, die SID aber nicht so schnell kopiert (wenn es überhaupt geht). Vorübergehend wäre aber natürlich auch eine Einschränkung auf bestimmte MAC-Adressen möglich...
Hallo,
das Notebook mit dem ich mich einwähle bekommt ohne diese Regel Vollzugriff sobald ich die Regel hinzufüge kommt folgende Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: Beispiel.Domäne\Max.Mustermann
Kontoname: Beispiel.Domäne\max.mustermann
Kontodomäne: Beispiel.Domäne
Vollqualifizierter Kontoname: beispiel.domäne.de/Users/Max.Mustermann
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-0F-A3-XX-XX-XX:WLAN_RADIUS
Anrufer-ID: 00-12-F0-XX-XX-XX
NAS:
NAS-IPv4-Adresse: 192.168.xx.xxx
NAS-IPv6-Adresse: -
NAS-ID: RADIUS_WLAN
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1
RADIUS-Client:
Clientanzeigenname: Lancom L54 Wireless
Client-IP-Adresse: 192.168.xx.xxx
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: Connections to other access servers
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUS.Beispiel.Domäne.de
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 65
Ursache: Die Einstellung "Netzwerkzugriffsberechtigung" in den Einwähleinstellungen des Benutzerkontos in Active Directory ist so festgelegt, dass dem Benutzer der Zugriff verweigert wird. Zum Ändern der Einstellung "Netzwerkzugriffsberechtigung" in "Zugriff zulassen" oder "Zugriff über NPS-Netzwerkrichtlinien steuern" fordern Sie die Eigenschaften des Benutzerkontos in Active Directory-Benutzer und -Computer an, klicken Sie auf die Registerkarte "Einwählen", und ändern Sie "Netzwerkzugriffsberechtigung".
Habe auch schon in der Active Directory die Einwähleinstellungen angepasst aber naja funktioniert auch nicht.
Wenn es die Funktion gibt muss Sie ja auch irgendwie anwendbar sein!
das Notebook mit dem ich mich einwähle bekommt ohne diese Regel Vollzugriff sobald ich die Regel hinzufüge kommt folgende Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: Beispiel.Domäne\Max.Mustermann
Kontoname: Beispiel.Domäne\max.mustermann
Kontodomäne: Beispiel.Domäne
Vollqualifizierter Kontoname: beispiel.domäne.de/Users/Max.Mustermann
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-0F-A3-XX-XX-XX:WLAN_RADIUS
Anrufer-ID: 00-12-F0-XX-XX-XX
NAS:
NAS-IPv4-Adresse: 192.168.xx.xxx
NAS-IPv6-Adresse: -
NAS-ID: RADIUS_WLAN
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1
RADIUS-Client:
Clientanzeigenname: Lancom L54 Wireless
Client-IP-Adresse: 192.168.xx.xxx
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: Connections to other access servers
Authentifizierungsanbieter: Windows
Authentifizierungsserver: RADIUS.Beispiel.Domäne.de
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 65
Ursache: Die Einstellung "Netzwerkzugriffsberechtigung" in den Einwähleinstellungen des Benutzerkontos in Active Directory ist so festgelegt, dass dem Benutzer der Zugriff verweigert wird. Zum Ändern der Einstellung "Netzwerkzugriffsberechtigung" in "Zugriff zulassen" oder "Zugriff über NPS-Netzwerkrichtlinien steuern" fordern Sie die Eigenschaften des Benutzerkontos in Active Directory-Benutzer und -Computer an, klicken Sie auf die Registerkarte "Einwählen", und ändern Sie "Netzwerkzugriffsberechtigung".
Habe auch schon in der Active Directory die Einwähleinstellungen angepasst aber naja funktioniert auch nicht.
Wenn es die Funktion gibt muss Sie ja auch irgendwie anwendbar sein!
Klar ist sie anwendbar. Ich muss zugeben, dass mir im Moment kein Grund für das Verhalten einfällt. Vielleicht kommt das noch. Sorry.
hmm
hat vielleicht sonst jemand eine Idee hab schon ziemlich lange hin und her probiert aber es klappt einfach nicht ...
hat vielleicht sonst jemand eine Idee hab schon ziemlich lange hin und her probiert aber es klappt einfach nicht ...
