5
RADIUS-Server unter Win2008 konfigurieren
hi! vl kann mir ja wer helfen. bring den RADIUS-Server einfach nicht zum laufen -.-
hi!
hab probleme mit meinem radius. vl könnt ihr mir ja helfen.
meine konfig:
1 dc/ad server
1 server mit diversen diensten, unteranderem eben der radius
1 cisco WRVS4400N Wireless-N Gigabit Security Router with VPN
am dc hab ich bei der globalen richtlinie "umgekehrte verschlüsselung speichern" aktiviert.
der nps is wie folgt konfiguriert:
typ des netzwerkzugriffservers: nicht spezifiziert
bedingung: NAS-Porttyp - Drahtlos-Anderer OR Drahtlos-IEEE 802.11 | windows-gruppen: domänen-benutzer | benutzergruppen: domänen-benutzer
authentifizierungsmethode: MS smartcard oder anderes zertifikat | MS geschütztes EAP (PEAP) hier hab ich bei den eigenschaften als EAP-Typen gespeichertes Kennwort (EAP-MSCHAP v2) und smartcard oder anderes zertifikan
alles andere std-konfig
Routing und RAS ist bei mir deaktiviert.
beim cisco router hab ich WPA2-enterprise eingestellt.
Encryption: AES
RADIUS-Server: die IP von NPS-Server
RADIUS-Port: 1812
Shared Key: ist ein ziemlich langer der vom NPS generiert wurde
Key Renewal: 3600 seconds
wenn ich jetzt versuche mit meinem windows mobile 6.5 phone zu connecten steht immer: "Cannot log on to the wireless network. This network requires a personal certificate to positively identify you."
kann mir bitte jemand helfen?!?
mfg
hab probleme mit meinem radius. vl könnt ihr mir ja helfen.
meine konfig:
1 dc/ad server
1 server mit diversen diensten, unteranderem eben der radius
1 cisco WRVS4400N Wireless-N Gigabit Security Router with VPN
am dc hab ich bei der globalen richtlinie "umgekehrte verschlüsselung speichern" aktiviert.
der nps is wie folgt konfiguriert:
typ des netzwerkzugriffservers: nicht spezifiziert
bedingung: NAS-Porttyp - Drahtlos-Anderer OR Drahtlos-IEEE 802.11 | windows-gruppen: domänen-benutzer | benutzergruppen: domänen-benutzer
authentifizierungsmethode: MS smartcard oder anderes zertifikat | MS geschütztes EAP (PEAP) hier hab ich bei den eigenschaften als EAP-Typen gespeichertes Kennwort (EAP-MSCHAP v2) und smartcard oder anderes zertifikan
alles andere std-konfig
Routing und RAS ist bei mir deaktiviert.
beim cisco router hab ich WPA2-enterprise eingestellt.
Encryption: AES
RADIUS-Server: die IP von NPS-Server
RADIUS-Port: 1812
Shared Key: ist ein ziemlich langer der vom NPS generiert wurde
Key Renewal: 3600 seconds
wenn ich jetzt versuche mit meinem windows mobile 6.5 phone zu connecten steht immer: "Cannot log on to the wireless network. This network requires a personal certificate to positively identify you."
kann mir bitte jemand helfen?!?
mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176186
Url: https://administrator.de/contentid/176186
Printed on: April 27, 2024 at 05:04 o'clock
5 Comments
Latest comment
Die Fehlermeldung sagt doch eigentlich schon alles aus ! Man muss eigentlich nur lesen können 
Vermutlich hast du vergessen das Zertifikat auf deine Windows Mobile (wer nutzt denn sowas schon auf Smartphones ??) Kiste zu kopieren. Das ist alles....
Grundlegende Infos dazu findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Da steht auch wie du das Zertifikat importierst. Bei Smartphones macht man das in der Regel indem man das Zertifikat per Mail ans Smartphone schickt. Ein Klick aufs Attachment importiert das Zertifikat dann. Mag aber sein das es bei dem Exot Win mobile irgendwie anders ist. Bei iOS oder Android geht es jedenfalls so am einfachsten.
Für den Winblows Radius Server gibt es diverse Anleitungen im Netz. Ältere sind identisch zu aktuellen Versionen:
http://technet.microsoft.com/en-us/library/bb457068.aspx
http://www.microsoft.com/download/en/details.aspx?DisplayLang=en%2f& ...
http://www.windowsnetworking.com/kbase/windowstips/windows2000/admintip ...
usw. usw..
Vermutlich ist der aber schon korrekt eingerichtet bei dir ?!
Vermutlich hast du vergessen das Zertifikat auf deine Windows Mobile (wer nutzt denn sowas schon auf Smartphones ??) Kiste zu kopieren. Das ist alles....
Grundlegende Infos dazu findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Da steht auch wie du das Zertifikat importierst. Bei Smartphones macht man das in der Regel indem man das Zertifikat per Mail ans Smartphone schickt. Ein Klick aufs Attachment importiert das Zertifikat dann. Mag aber sein das es bei dem Exot Win mobile irgendwie anders ist. Bei iOS oder Android geht es jedenfalls so am einfachsten.
Für den Winblows Radius Server gibt es diverse Anleitungen im Netz. Ältere sind identisch zu aktuellen Versionen:
http://technet.microsoft.com/en-us/library/bb457068.aspx
http://www.microsoft.com/download/en/details.aspx?DisplayLang=en%2f& ...
http://www.windowsnetworking.com/kbase/windowstips/windows2000/admintip ...
usw. usw..
Vermutlich ist der aber schon korrekt eingerichtet bei dir ?!
hi. danke für die schnelle antwort!
ja das das zertifikat nicht am handy is versteh ich schon, aber es gibt ja eine enroll funktion und da kann das phone nicht verbinden.
gibt es keine möglichkeit das zertifikat bei der anmeldung an den AP bzw am netzwerk gleich mit zu senden? ist doch ein wenig umständlich jedem gerät auf unserer dienststelle das zertifikat manuell zu überspielen.
das größere problem ist jedoch: wo finde ich dieses stammzertifikat???
ich verwende winserver2008 und komm natürlich mit den linuxcommands nicht weit und so wie in den anderen beschreibungen, die du gepostet hast, dargestellt finde ich das nicht auf meinem server.
ich bin ein kompletter anfänger/laie und soll das für unsere rettungsdienststelle realisieren.
eingerichtet sollte der radius korrekt sein, hab mich ja schon durchgegoogelt, aba es will einfach nicht so wie ich mir das vorstelle.
als EAP-Typ hab ich am RADIUS-Server "PEAP" und "SmartCard or Certificate" eingestellt.
bei den per kabel verbundenen clients, die auch in der domäne registriert sind, ist das stammzertifikat automatisch installiert worden.
mfg
ja das das zertifikat nicht am handy is versteh ich schon, aber es gibt ja eine enroll funktion und da kann das phone nicht verbinden.
gibt es keine möglichkeit das zertifikat bei der anmeldung an den AP bzw am netzwerk gleich mit zu senden? ist doch ein wenig umständlich jedem gerät auf unserer dienststelle das zertifikat manuell zu überspielen.
das größere problem ist jedoch: wo finde ich dieses stammzertifikat???
ich verwende winserver2008 und komm natürlich mit den linuxcommands nicht weit und so wie in den anderen beschreibungen, die du gepostet hast, dargestellt finde ich das nicht auf meinem server.
ich bin ein kompletter anfänger/laie und soll das für unsere rettungsdienststelle realisieren.
eingerichtet sollte der radius korrekt sein, hab mich ja schon durchgegoogelt, aba es will einfach nicht so wie ich mir das vorstelle.
als EAP-Typ hab ich am RADIUS-Server "PEAP" und "SmartCard or Certificate" eingestellt.
bei den per kabel verbundenen clients, die auch in der domäne registriert sind, ist das stammzertifikat automatisch installiert worden.
mfg
Nein, das geht nicht bei der Anmeldung. Das ist ja gerade der tiefere Sinn von Zertifikaten das sie vorab installiert werden. So hat man eine HW basierte Zugangskontrolle was ja der Sinn ist.
Vielleicht hilft dir das rauszufinden wo Winblows das Root Zert. versteckt.
http://www.msexchange.org/tutorials/SSL_Enabling_OWA_2003.html
Bei den Kabelclients ist das klar aber bei WLAN ist das sinnvollerweise auch Sicherheitsgründen so nicht möglich. Du generierst doch ein Zertifikat in deinenr CA für den User. Warum exportierst du es dann nicht und sendest im das per Email aufs Telefon ?? Das sind 3 Mausklicks... ?!
P.S.: Deine Shift Taste ist defekt !! Da muss auch mal der "Rettungsdienst" ran !
Vielleicht hilft dir das rauszufinden wo Winblows das Root Zert. versteckt.
http://www.msexchange.org/tutorials/SSL_Enabling_OWA_2003.html
Bei den Kabelclients ist das klar aber bei WLAN ist das sinnvollerweise auch Sicherheitsgründen so nicht möglich. Du generierst doch ein Zertifikat in deinenr CA für den User. Warum exportierst du es dann nicht und sendest im das per Email aufs Telefon ?? Das sind 3 Mausklicks... ?!
P.S.: Deine Shift Taste ist defekt !! Da muss auch mal der "Rettungsdienst" ran !
ich habe irgendwo gelesen das die anmeldung auch nur mit benutzername und pw geht, ohne zertifikat.
hab das mit dem zertifikat für die seite zusammengebracht.
was ich allerdings nicht geschaft habe ist "Step 1c: Installing User Certificates" wie in dem link http://technet.microsoft.com/en-us/library/bb457068.aspx den du mir gepostet hast, beschrieben.
hab winserver2008 und da is das alles ein wenig anders. der iis7 zb ist komplett anders. da hab ich ziemlich lang herum suchen müssen bis ich überhaupt wusste wie man bei iis7 das zertifikat anfordert ...
hab das mit dem zertifikat für die seite zusammengebracht.
was ich allerdings nicht geschaft habe ist "Step 1c: Installing User Certificates" wie in dem link http://technet.microsoft.com/en-us/library/bb457068.aspx den du mir gepostet hast, beschrieben.
hab winserver2008 und da is das alles ein wenig anders. der iis7 zb ist komplett anders. da hab ich ziemlich lang herum suchen müssen bis ich überhaupt wusste wie man bei iis7 das zertifikat anfordert ...
Ja, natürlich ist das ebenso möglich mit Username und Passwort zu arbeiten. Der nachteil ist dabei das das "weitergegeben" werden kann, was bei einem zertifikat nicht geht. Deshalb gelten Zertifikate als Geräte bezogen und damit sicherer. Außerdem sind sie leichter zu verwalten.
Nichtsdestotrotz klappt es natürlich auch mit Usernamen und Passwort problemlos.
Was die Handhabung des Winblows Klicki Bunti Interfaces anbetrifft...no comment. Du hättest dir ggf. doch besser einen FreeRadius in einer VM installiert, da klappt solcherlei Einrichtung in 3 Minuten !
P.S.: Es ist nicht wirklich eine Wohltat Texte mit defekter Shift Tase lesen zu müssen
Nichtsdestotrotz klappt es natürlich auch mit Usernamen und Passwort problemlos.
Was die Handhabung des Winblows Klicki Bunti Interfaces anbetrifft...no comment. Du hättest dir ggf. doch besser einen FreeRadius in einer VM installiert, da klappt solcherlei Einrichtung in 3 Minuten !
P.S.: Es ist nicht wirklich eine Wohltat Texte mit defekter Shift Tase lesen zu müssen