17
802.1x Authentifizierung - Laptop im Standby vergisst Authentifizierung mit Gerätekonto
Hallo liebe Leute,
ich habe eine Port-Authentifizierung nach 802.1x am Switch im drahtgebundenen LAN eingerichtet. Die Authentifizierung läuft am Windows-XP Client über das Gerätekonto einer Domäne. Das funktioniert auch ganz gut, nur wenn der Rechner kurz vom Netzwerk getrennt ist oder er in den Standby Modus umschaltet "vergisst" er, dass er zur Anmeldung am Netzwerk das Gerätekonto verwenden soll.
Es öffnet sich ein Fenster, in das Benutzername und PWD eingetragen werden können, aber der Client verwendet das Gerätekonto nicht.
Kann mir jemand einen Hinweis geben?
Viele Grüße - Christian
ich habe eine Port-Authentifizierung nach 802.1x am Switch im drahtgebundenen LAN eingerichtet. Die Authentifizierung läuft am Windows-XP Client über das Gerätekonto einer Domäne. Das funktioniert auch ganz gut, nur wenn der Rechner kurz vom Netzwerk getrennt ist oder er in den Standby Modus umschaltet "vergisst" er, dass er zur Anmeldung am Netzwerk das Gerätekonto verwenden soll.
Es öffnet sich ein Fenster, in das Benutzername und PWD eingetragen werden können, aber der Client verwendet das Gerätekonto nicht.
Kann mir jemand einen Hinweis geben?
Viele Grüße - Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 59011
Url: https://administrator.de/contentid/59011
Printed on: April 26, 2024 at 03:04 o'clock
17 Comments
Latest comment
Hallo christian,
da bist Du ja wieder!
Reden wir diesmal von einer computerbasierten Authentifizierung und die Trennung der Sitzung bei Leerlauf unterbinden,ist es das, was Du umsetzen moechtest?
Dazu musst Du Verbindungsbeschraenkungen festlegen, sprich, die Infrastruktur fuer den WLAN-Zugriff schaffen, das macht man ueber die IAS-RAS Richtlinie.
Siehe hierzu auch die Absaetze "Erstellen einer IAS-RAS-Richtlinie für WLANs", "Ändern der Einstellungen im Profil der WLAN-Zugriffsrichtlinie", sowie "Überprüfen der Verbindungsanforderungsrichtlinie für WLAN" unter :
http://www.microsoft.com/germany/technet/datenbank/articles/900163.mspx ...
Damit sollte es Dir eigentlich moeglich sein, das Problem in den Griff zu bekommen...
saludos
gnarff
da bist Du ja wieder!
Reden wir diesmal von einer computerbasierten Authentifizierung und die Trennung der Sitzung bei Leerlauf unterbinden,ist es das, was Du umsetzen moechtest?
Dazu musst Du Verbindungsbeschraenkungen festlegen, sprich, die Infrastruktur fuer den WLAN-Zugriff schaffen, das macht man ueber die IAS-RAS Richtlinie.
Siehe hierzu auch die Absaetze "Erstellen einer IAS-RAS-Richtlinie für WLANs", "Ändern der Einstellungen im Profil der WLAN-Zugriffsrichtlinie", sowie "Überprüfen der Verbindungsanforderungsrichtlinie für WLAN" unter :
http://www.microsoft.com/germany/technet/datenbank/articles/900163.mspx ...
Damit sollte es Dir eigentlich moeglich sein, das Problem in den Griff zu bekommen...
saludos
gnarff
Hallo gnarff, hallo Forum,
es geht nicht so sehr um das Verhindern von Leerlaufverbindungen durch das eine neue Authentifizierung nötig wäre.
Eigentlich ist das Problem, dass Windows XP sich bei dieser neuen Authentifizierungsanfrage des Switches (ich betreibe das im drahtgebundenen LAN) nicht mehr mit dem Gerätekonto des Rechners anmeldet, sondern den Benutzer zur Eingabe von Username und Passwort für das Netzwerk auffordert.
Es müsste also eine Einstellung geben, mit der das Gerät so konfiguriert wird, dass jede Authentifizierungsanfrage des Switches mit dem Gerätekonto beantwortet wird.
Hat noch jemand einen Hinweis?
Christian
es geht nicht so sehr um das Verhindern von Leerlaufverbindungen durch das eine neue Authentifizierung nötig wäre.
Eigentlich ist das Problem, dass Windows XP sich bei dieser neuen Authentifizierungsanfrage des Switches (ich betreibe das im drahtgebundenen LAN) nicht mehr mit dem Gerätekonto des Rechners anmeldet, sondern den Benutzer zur Eingabe von Username und Passwort für das Netzwerk auffordert.
Es müsste also eine Einstellung geben, mit der das Gerät so konfiguriert wird, dass jede Authentifizierungsanfrage des Switches mit dem Gerätekonto beantwortet wird.
Hat noch jemand einen Hinweis?
Christian
Hallo christian!
Radiusserver einsetzen...hoppla, mein sohn wird grad wach, schreibe gleich weiter...
saludos
gnarff
Radiusserver einsetzen...hoppla, mein sohn wird grad wach, schreibe gleich weiter...
saludos
gnarff
Hallo Gnarf, hallo Forum
sorry, aber ich glaube ich habe mich Missverständlich ausgedrückt. Lass mich bitte etwas ausholen. Ich betreibe einen freeRadius Server auf einer Suse Linux Installation. Dieser ist mit einem Switch verbunden und beide zusammen sind zur Realisierung von Port-Access nach 802.1x konfiguriert. Die Lösung funktioniert. Die Windows-XP Supplicanten sind so konfiguriert, dass sie sich mit ihrem Gerätekonto am Netzwerk anmelden. Beim normalen Boot funktioniert dies auch.
Das Problem tritt auf, wenn mein Windows XP Gerät in den Standy-Modus wechselt. Dann verliert es logischerweise die Netzwerkverbindung.
Der Rechner wird aus dem standby geweckt. Der Switch registriert einen "neuen" unauthentifizierten supplicanten. Der Switch sendet daraufhin ein Access-REquest paket und leitet die Authentifizierung ein.
Soweit ist alles ok. Aber der Windows-XP Supplicant beantwortet diese nun nciht mehr mit dem Computerkonto, sondern öffnet für den Benutzer ein Fenster, in dem Benutzername und Passwort abgefragt werden.
Ich möchte aber, dass der Windows-XP-Supplicant das Gerätekonto verwendet (wie er das ja bei der authentifizierung beim normalen anmelden ohne standby macht.)
Hast du noch einen Tip?
Gruß und Danke Christian
sorry, aber ich glaube ich habe mich Missverständlich ausgedrückt. Lass mich bitte etwas ausholen. Ich betreibe einen freeRadius Server auf einer Suse Linux Installation. Dieser ist mit einem Switch verbunden und beide zusammen sind zur Realisierung von Port-Access nach 802.1x konfiguriert. Die Lösung funktioniert. Die Windows-XP Supplicanten sind so konfiguriert, dass sie sich mit ihrem Gerätekonto am Netzwerk anmelden. Beim normalen Boot funktioniert dies auch.
Das Problem tritt auf, wenn mein Windows XP Gerät in den Standy-Modus wechselt. Dann verliert es logischerweise die Netzwerkverbindung.
Der Rechner wird aus dem standby geweckt. Der Switch registriert einen "neuen" unauthentifizierten supplicanten. Der Switch sendet daraufhin ein Access-REquest paket und leitet die Authentifizierung ein.
Soweit ist alles ok. Aber der Windows-XP Supplicant beantwortet diese nun nciht mehr mit dem Computerkonto, sondern öffnet für den Benutzer ein Fenster, in dem Benutzername und Passwort abgefragt werden.
Ich möchte aber, dass der Windows-XP-Supplicant das Gerätekonto verwendet (wie er das ja bei der authentifizierung beim normalen anmelden ohne standby macht.)
Hast du noch einen Tip?
Gruß und Danke Christian
Hallo christian,
schoene ausfuehrliche Beschreibung!
Koenntest Du damit leben, den StandBy-Modus abzuschalten oder brauchst Du ihn? Das waere die einfachste Loesung deines Problemes...
saludos
gnarff
schoene ausfuehrliche Beschreibung!
Koenntest Du damit leben, den StandBy-Modus abzuschalten oder brauchst Du ihn? Das waere die einfachste Loesung deines Problemes...
saludos
gnarff
Hmm... Das ist natürlich eine Möglichkeit, aber eigentlich keine Lösung, oder? Bei Laptops ist es schon ein bisschen doof.
Hat denn keiner eine Idee, wie ich Windows über diese "Unpässlichkeit" hinweghelfe?
Viele Grüße - Christian
Hat denn keiner eine Idee, wie ich Windows über diese "Unpässlichkeit" hinweghelfe?
Viele Grüße - Christian
Hallo christian!
Es ist keine elegante Loesung, da gebe ich Dir recht. Es ist jedoch eine eigenart von Windows, die Netzwerkverbindungen im Standby-Mode zu trennen. Was Du braeuchtest, ist ein Pre-Logon Connect fuer WLAN, oder wie ware es mit einem Sigle Sign On?
Hier bei DELL ist es sehr rudimentaer beschrieben worden:
http://support2.jp.dell.com/docs/network/P75353/ge/prelogon.htm#prelogo ...
Ich suche mal nach etwas Ausfuehrlicherem...
saludos
gnarff
Es ist keine elegante Loesung, da gebe ich Dir recht. Es ist jedoch eine eigenart von Windows, die Netzwerkverbindungen im Standby-Mode zu trennen. Was Du braeuchtest, ist ein Pre-Logon Connect fuer WLAN, oder wie ware es mit einem Sigle Sign On?
Hier bei DELL ist es sehr rudimentaer beschrieben worden:
http://support2.jp.dell.com/docs/network/P75353/ge/prelogon.htm#prelogo ...
Ich suche mal nach etwas Ausfuehrlicherem...
saludos
gnarff
Naja, ich weiss nicht ob das so das richtige ist... Ich benutze das ja für LAN und nicht für WLAN. Außerdem ist das ja korrekt, dass Windows die Anmeldung im Standby verliert. Das Problem ist, dass Windows zum Wiederherstellen der Verbindung die Falschen Daten anzieht. Statt das Maschinenkonto dafür zu verwenden, wird der Benutzer nach Anmeldeinformationen gefragt.
Noch eine Idee oder ein Hinweis wo ich mal suchen kann?
Gruß Christian
Noch eine Idee oder ein Hinweis wo ich mal suchen kann?
Gruß Christian
Hallo christian!
Eigentlich ist es bei korrekter Konfiguration voellig unmoeglich, dass das Benutzerkonto und nicht das Maschinenkonto abgefragt wird.
Hast Du das so konfiguriert?:
http://www.id.ethz.ch/about/sections/kom/dkid/themas/config-1x/win2k-m- ...
saludos
gnarff
Eigentlich ist es bei korrekter Konfiguration voellig unmoeglich, dass das Benutzerkonto und nicht das Maschinenkonto abgefragt wird.
Hast Du das so konfiguriert?:
http://www.id.ethz.ch/about/sections/kom/dkid/themas/config-1x/win2k-m- ...
saludos
gnarff
Hallo gnarff,
ja, das ist genau das, was ich gesucht habe. Ich habe die Authentifizierung am Client nur über das "Häckchen" in den Einstellungen konfiguriert. Wenn ich beide Registryschlüssel einrichte, läuft die Authentifizierung immer korrekt und zusätzlich auch noch schneller ab.
Vielen Dank dafür
Gruß - Christian
ja, das ist genau das, was ich gesucht habe. Ich habe die Authentifizierung am Client nur über das "Häckchen" in den Einstellungen konfiguriert. Wenn ich beide Registryschlüssel einrichte, läuft die Authentifizierung immer korrekt und zusätzlich auch noch schneller ab.
Vielen Dank dafür
Gruß - Christian
Uff, endlich, hatte schon begonnen an meinem Verstand zu zweifeln...
saludos
gnarff
saludos
gnarff
hmm kenn ich...
Danke nochmal - Christian
Danke nochmal - Christian
Servus.
Leider ist die Datei nicht mehr sichtbar. Wie war denn die Lösung für das Problem?
Sitze momentan vor dem gleichen Problem und der Anwender sitzt in Schweden.
Leider ist die Datei nicht mehr sichtbar. Wie war denn die Lösung für das Problem?
Sitze momentan vor dem gleichen Problem und der Anwender sitzt in Schweden.
Hallo DC,
steht doch oben im Thread:
Hallo christian!
Eigentlich ist es bei korrekter Konfiguration voellig unmoeglich, dass das Benutzerkonto und nicht das Maschinenkonto abgefragt wird.
Hast Du das so konfiguriert?:
http://www.id.ethz.ch/about/sections/kom/ ...
saludos
gnarff
Kommentar christian56 schreibt am 22.05.2007, 09:58:50 Uhr
Hallo gnarff,
ja, das ist genau das, was ich gesucht habe. Ich habe die Authentifizierung am Client nur über das "Häckchen" in den Einstellungen konfiguriert. Wenn ich beide Registryschlüssel einrichte, läuft die Authentifizierung immer korrekt und zusätzlich auch noch schneller ab.
Vielen Dank dafür
Gruß - Christian
Saludos
gnarff
steht doch oben im Thread:
Hallo christian!
Eigentlich ist es bei korrekter Konfiguration voellig unmoeglich, dass das Benutzerkonto und nicht das Maschinenkonto abgefragt wird.
Hast Du das so konfiguriert?:
http://www.id.ethz.ch/about/sections/kom/ ...
saludos
gnarff
Kommentar christian56 schreibt am 22.05.2007, 09:58:50 Uhr
Hallo gnarff,
ja, das ist genau das, was ich gesucht habe. Ich habe die Authentifizierung am Client nur über das "Häckchen" in den Einstellungen konfiguriert. Wenn ich beide Registryschlüssel einrichte, läuft die Authentifizierung immer korrekt und zusätzlich auch noch schneller ab.
Vielen Dank dafür
Gruß - Christian
Saludos
gnarff
Seruvs gnarff,
hast du mal wieder auf den Link oben geklickt?
Document not found.
hast du mal wieder auf den Link oben geklickt?
Document not found.
Sorry, normalerweise gebe ich immer Titel und Verfasser an damit man ein Dokument wiederfindet auch wenn der angebotenen Link tot ist.
Wie waers mit einem VBS-script, welches Netsh anspricht - waehrend ich versuche die Infos aus den toten Links wieder aufzufinden:
Titel: "A computer that is connected to an IEEE 802.1X authenticated network does not connect to the correct network after you resume it from Hibernate mode or Sleep mode
Autor: Anand Venkatachalapathy
Saludos
gnarff
Wie waers mit einem VBS-script, welches Netsh anspricht - waehrend ich versuche die Infos aus den toten Links wieder aufzufinden:
Titel: "A computer that is connected to an IEEE 802.1X authenticated network does not connect to the correct network after you resume it from Hibernate mode or Sleep mode
Autor: Anand Venkatachalapathy
Saludos
gnarff
Moin,
Danke für die Info,
hatte das Problem nun gefixt.
Port aufgemacht, draufgeschalten, LAN Konfiguration verglichen. Config angepasst. Auth funktionierte wieder.
Grüße
Danke für die Info,
hatte das Problem nun gefixt.
Port aufgemacht, draufgeschalten, LAN Konfiguration verglichen. Config angepasst. Auth funktionierte wieder.
Grüße
