19
Alternatives Serverzertifikat zum Windows Serverzertifikatdienst gesucht
Hallo,
möchte per Radiusserver Netzwerkressourcen zugänglich machen und habe nach der paedml-Anleitung gearbeitet. Siehe hier: paedML
Auf zwei verschiedenen physikalischen paedml-Servern hat die Verbindung nicht funktioniert. Ich tippe mal auf ein fehlerhaftes Zertifikat und suche deshalb eine Alternative zum Serverzertifikat von Windows.
Ein weiterer Grund dafür ist, dass auch externe Geräte mit MAC-OS die Netzwerkressourcen nutzen sollen und diese nicht mit dem Windows-Zertifikat arbeiten.
Viele Grüße!
möchte per Radiusserver Netzwerkressourcen zugänglich machen und habe nach der paedml-Anleitung gearbeitet. Siehe hier: paedML
Auf zwei verschiedenen physikalischen paedml-Servern hat die Verbindung nicht funktioniert. Ich tippe mal auf ein fehlerhaftes Zertifikat und suche deshalb eine Alternative zum Serverzertifikat von Windows.
Ein weiterer Grund dafür ist, dass auch externe Geräte mit MAC-OS die Netzwerkressourcen nutzen sollen und diese nicht mit dem Windows-Zertifikat arbeiten.
Viele Grüße!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124123
Url: https://administrator.de/contentid/124123
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
Für solche Probleme gibt es eine Hotline, die helfen einem da gerne weiter.
Aber ich hatte auch schon festgestellt, das manche private Windows-Clients das CA-Zertifikat nicht akzeptieren, wenn es wie in der Anleitung beschrieben importiert wird. Man sollte es dann am besten in das Computerkonto importieren:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzfügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
Für Notebooks, die Domänenmitglieder sind, braucht man das nicht machen. Wird die GPO gemäß Anleitung angelegt, laufen die
Was die MACs betrifft: auch dies geht. Ich habe zwar selbst keins, kenne aber Leute, die arbeiten mit MACs (10.4 oder neuer) in der ML.
Man muss serverseitig die Konfiguration für "private Notebooks" durchführen und dann das Stammzertifikat in den Schlüsselring des MACs importieren und bei der WLAN-Konfiguration den Typ "PEAP (MS-CHAP v2)" auswählen. Probleme gibt es dann noch bei dem Zugriff auf die Homeshares, da die ML hier sehr eingeschränkte NTFS-Rechte hat, mit der der SMB-Client vom MAC oftmals nicht klarkommt. Am einfachsten ist es, den Home-Ordner der MAC-Benutzer selbst nochmal freizugeben und diesen zu verwenden.
Gruß,
Schorsch
Für solche Probleme gibt es eine Hotline, die helfen einem da gerne weiter.
Aber ich hatte auch schon festgestellt, das manche private Windows-Clients das CA-Zertifikat nicht akzeptieren, wenn es wie in der Anleitung beschrieben importiert wird. Man sollte es dann am besten in das Computerkonto importieren:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzfügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
Für Notebooks, die Domänenmitglieder sind, braucht man das nicht machen. Wird die GPO gemäß Anleitung angelegt, laufen die
Was die MACs betrifft: auch dies geht. Ich habe zwar selbst keins, kenne aber Leute, die arbeiten mit MACs (10.4 oder neuer) in der ML.
Man muss serverseitig die Konfiguration für "private Notebooks" durchführen und dann das Stammzertifikat in den Schlüsselring des MACs importieren und bei der WLAN-Konfiguration den Typ "PEAP (MS-CHAP v2)" auswählen. Probleme gibt es dann noch bei dem Zugriff auf die Homeshares, da die ML hier sehr eingeschränkte NTFS-Rechte hat, mit der der SMB-Client vom MAC oftmals nicht klarkommt. Am einfachsten ist es, den Home-Ordner der MAC-Benutzer selbst nochmal freizugeben und diesen zu verwenden.
Gruß,
Schorsch
Hallo,
danke für die Rückmeldung!
Hotline kommt leider nicht in Frage, da ich nicht BWler bin, jedoch bereits lange mit der paedML zu tun habe.
Die Tipps waren insbesondere im Hinblick auf die MAC-Komaptibilität sehr hilfreich. Leider funktioniert die Verbindung noch immer nicht.
Da das Phänomen an zwei unterschiedlichen physikalischen Servern auftaucht, auch unter Verwendung unterschiedlicher Notebooks, bin ich so langsam am Verzweifeln.
Die komplette Radiusserverinstallationsroutine habe ich bereits x-mal durchgefürt.
Wo könnte ich noch ansetzen? Der AP hängt an im Moment zu Testzwecken direkt an der internen Netzwerkkarte. Korrekt? Tja, so langsam wirds duster.
Grüße!
danke für die Rückmeldung!
Hotline kommt leider nicht in Frage, da ich nicht BWler bin, jedoch bereits lange mit der paedML zu tun habe.
Die Tipps waren insbesondere im Hinblick auf die MAC-Komaptibilität sehr hilfreich. Leider funktioniert die Verbindung noch immer nicht.
Da das Phänomen an zwei unterschiedlichen physikalischen Servern auftaucht, auch unter Verwendung unterschiedlicher Notebooks, bin ich so langsam am Verzweifeln.
Die komplette Radiusserverinstallationsroutine habe ich bereits x-mal durchgefürt.
Wo könnte ich noch ansetzen? Der AP hängt an im Moment zu Testzwecken direkt an der internen Netzwerkkarte. Korrekt? Tja, so langsam wirds duster.
Grüße!
Hallo,
na, dann schauen wir mal
Die ersten beiden Werte halten die Ports für den IAS frei, der letzte die für den IPSec-Dienst (der hat zwar nichts mit Radius zu tun, aber wenn du gerade dabei bist)
Gruß,
Schorsch
na, dann schauen wir mal
- Was für einen AP verwendest du denn?
- Welche Meldung kommt am Client (Ereignisprotokoll)?
- Welche Meldung kommt im Radius-Log?
- Läuft der IAS-Dienst überhaupt?
1645-1646
1812-1813
4500-4500Gruß,
Schorsch
Hallo,
AP
Habe mir den originalen AP aus der paedML-Anleitung besorgt: D-LINK, DWL2100AP. Akuellste Firmware ist aufgespielt.
Ereignisprotokoll (Client)
Alle 10 Sekunden folgendes Ereignis
Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4201
Datum: 03.09.2009
Zeit: 18:00:49
Benutzer: Nicht zutreffend
Computer: NOTEBOOK
Beschreibung:
Netzwerkadapter "Intel(R)...WiFi Link 5100 - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 69 10 00 40 ....i..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Meldung "Radius-Log
Protokollierung aktiviert, konnte jedoch keine INyymmdd.log in ../system32/logfiles finden.
Läuft der IAS-Dienst
Verwaltung/Dienste/IAS-Dienst gestartet
Registry-Einträge sind erweitert
Noch folgender Hinweis: Nach Rückmeldung von Tamer Berber (Anleitungs-Autor) habe ich mal ein Notebook in die Domäne aufgenommen und versucht, per WLAN zu booten und anzumelden. Ergebnis: Funktioniert nicht. Liegt also, lt. Tamer Berber, doch eher am Zertifikat oder Authentifizierung.
Habe weiterhin mal ein Tracing wie folgt ohne erhoffte Einträge durchgeführt:
netsh ras set tra * en
Danach sollten Sie im Verzeichnis c:\windows\tracing verschiedene
Logdateien finden: rastls.log, raschap.log, ias*.log, ras*.log.
So, soweit von hier.
Grüße!
AP
Habe mir den originalen AP aus der paedML-Anleitung besorgt: D-LINK, DWL2100AP. Akuellste Firmware ist aufgespielt.
Ereignisprotokoll (Client)
Alle 10 Sekunden folgendes Ereignis
Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4201
Datum: 03.09.2009
Zeit: 18:00:49
Benutzer: Nicht zutreffend
Computer: NOTEBOOK
Beschreibung:
Netzwerkadapter "Intel(R)...WiFi Link 5100 - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 69 10 00 40 ....i..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
Meldung "Radius-Log
Protokollierung aktiviert, konnte jedoch keine INyymmdd.log in ../system32/logfiles finden.
Läuft der IAS-Dienst
Verwaltung/Dienste/IAS-Dienst gestartet
Registry-Einträge sind erweitert
Noch folgender Hinweis: Nach Rückmeldung von Tamer Berber (Anleitungs-Autor) habe ich mal ein Notebook in die Domäne aufgenommen und versucht, per WLAN zu booten und anzumelden. Ergebnis: Funktioniert nicht. Liegt also, lt. Tamer Berber, doch eher am Zertifikat oder Authentifizierung.
Habe weiterhin mal ein Tracing wie folgt ohne erhoffte Einträge durchgeführt:
netsh ras set tra * en
Danach sollten Sie im Verzeichnis c:\windows\tracing verschiedene
Logdateien finden: rastls.log, raschap.log, ias*.log, ras*.log.
So, soweit von hier.
Grüße!
... Hier (Link entfernt) habe ich noch meine AD-Einstellungen dokumentiert. Eventl. gibts hier einen Fehler im Hinblick auf die Authentifizierung. Alles steht auf dem Prüfstand.
Grüße!
Grüße!
Hallo,
da der IAS keine Logs anlegt, vermute ich eher, dass er nicht korrekt läuft. Wäre das Zertifikat die Ursache, hätte der IAS und der Client entsprechende Fehler protokollieren müssen.
Bei dir sieht es aber so aus, als ob der Client die WLAN-Verbindung startet und den Kontakt zum AP auch soweit aufbauen kann, dieser aber den IAS nicht erreicht. Damit kommt es zu einem TimeOut und der Client probiert es dann im 10sek-Takt immer wieder. Hätte die Authentifizierung fehlgeschlagen, würde der Client und der Server dies protokollieren und dann keinen weiteren Versuch starten.
Prüfe mal den Radius-Schlüssel, ob er bei Server und AP identisch ist. Ach ja, keine Sonderzeichen, meiner Erfahrung nach haben D-Links damit Probleme.
Setze auch den Haken bei "Anforderung muss das Attribut "Message Authenticator" enthalten" (Hast du laut deiner Doku nicht gemacht).
Ah, gerade sehe ich, das in der Doku etwas fehlt:
Der IAS muss im AD registriert werden, sonst geht da gar nichts. Und dieser Punkt ist nicht dokumentiert:
Im IAS Manager einfach mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal) klicken und Server im Active Directory registrieren
Gruß,
Schorsch
da der IAS keine Logs anlegt, vermute ich eher, dass er nicht korrekt läuft. Wäre das Zertifikat die Ursache, hätte der IAS und der Client entsprechende Fehler protokollieren müssen.
Bei dir sieht es aber so aus, als ob der Client die WLAN-Verbindung startet und den Kontakt zum AP auch soweit aufbauen kann, dieser aber den IAS nicht erreicht. Damit kommt es zu einem TimeOut und der Client probiert es dann im 10sek-Takt immer wieder. Hätte die Authentifizierung fehlgeschlagen, würde der Client und der Server dies protokollieren und dann keinen weiteren Versuch starten.
Prüfe mal den Radius-Schlüssel, ob er bei Server und AP identisch ist. Ach ja, keine Sonderzeichen, meiner Erfahrung nach haben D-Links damit Probleme.
Setze auch den Haken bei "Anforderung muss das Attribut "Message Authenticator" enthalten" (Hast du laut deiner Doku nicht gemacht).
Ah, gerade sehe ich, das in der Doku etwas fehlt:
Der IAS muss im AD registriert werden, sonst geht da gar nichts. Und dieser Punkt ist nicht dokumentiert:
Im IAS Manager einfach mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal) klicken und Server im Active Directory registrieren
Gruß,
Schorsch
Hallo,
deine Analyse hört sich plausibel an:
Radius-Schlüssel
Ist geprüft, einfach und indentisch
"Anforderung muss das Attribut..."
Ist gesetzt
IAS in AD
War bereits registriert.
Hier (Link entfernt) findest du meine D-LINK-Konfiguration.
Server-OS = W2K3 mit SP2, ISA 2006 und allen aktuellen Udpates, Patches
Ist doch nicht normal, dass der Fehler bei zwei unterschiedlichen, physikalischen Servern auftritt. Das Prozedere hat bei anderen paedMLern funktioniert. Meine Nerven.
Viele Grüße!
deine Analyse hört sich plausibel an:
Radius-Schlüssel
Ist geprüft, einfach und indentisch
"Anforderung muss das Attribut..."
Ist gesetzt
IAS in AD
War bereits registriert.
Hier (Link entfernt) findest du meine D-LINK-Konfiguration.
Server-OS = W2K3 mit SP2, ISA 2006 und allen aktuellen Udpates, Patches
Ist doch nicht normal, dass der Fehler bei zwei unterschiedlichen, physikalischen Servern auftritt. Das Prozedere hat bei anderen paedMLern funktioniert. Meine Nerven.
Viele Grüße!
Hallo,
laut der D-Link-Konfiguration hast du dort die falsche Subnetmaske.
Du hast 255.255.255.0
Damit ist der AP mit 10.1.5.11 in einem anderen Subnet als der Server mit 10.1.1.1 und kann demnach nicht mit ihm kommunizieren.
Ändere sie bitte auf 255.255.0.0 und probiere dann nochmal
Gruß,
Schorsch
laut der D-Link-Konfiguration hast du dort die falsche Subnetmaske.
Du hast 255.255.255.0
Damit ist der AP mit 10.1.5.11 in einem anderen Subnet als der Server mit 10.1.1.1 und kann demnach nicht mit ihm kommunizieren.
Ändere sie bitte auf 255.255.0.0 und probiere dann nochmal
Gruß,
Schorsch
Hallo,
Oh, mein Gott! Das scheint in der Tat der Fehler gewesen zu sein, den ich ca. 6 Monate übersehen hatte! Folgende Mittelung am Server in der Ereignisanzeige/System:
Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 04.09.2009
Zeit: 12:18:04
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxx" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = SCHULE\xxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
Kennung der Anruferstation = 00-16-44-9E-F0-80
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN für private Geräte
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)
Das schaut doch wirklich schon sehr gut aus! Wirklich super. Muss erstmal eine Tasse Tee jetzt trinken oder so
Noch 2 Fragen:
Der Versuch, per WLAN online zu gehe (Proxy: 10.1.1.1:8080) schlug fehl. Warum?
Wie kann ich die Netzwerkressourcen (Netzlaufwerke: Tausch, Vorlagen, Homeverzeichnis) am privaten WLAN-otebook in meinen Windows-Explorer integrieren.
Wie gesagt, die Verbindung steht zwar, jedoch kann ich im Moment noch nichts damit anfangen. Trotzdem, schon einmal ein großer Schritt.
Viele Grüße!
Oh, mein Gott! Das scheint in der Tat der Fehler gewesen zu sein, den ich ca. 6 Monate übersehen hatte! Folgende Mittelung am Server in der Ereignisanzeige/System:
Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 04.09.2009
Zeit: 12:18:04
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxx" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = SCHULE\xxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
Kennung der Anruferstation = 00-16-44-9E-F0-80
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN für private Geräte
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)
Das schaut doch wirklich schon sehr gut aus! Wirklich super. Muss erstmal eine Tasse Tee jetzt trinken oder so
Noch 2 Fragen:
Der Versuch, per WLAN online zu gehe (Proxy: 10.1.1.1:8080) schlug fehl. Warum?
Wie kann ich die Netzwerkressourcen (Netzlaufwerke: Tausch, Vorlagen, Homeverzeichnis) am privaten WLAN-otebook in meinen Windows-Explorer integrieren.
Wie gesagt, die Verbindung steht zwar, jedoch kann ich im Moment noch nichts damit anfangen. Trotzdem, schon einmal ein großer Schritt.
Viele Grüße!
Hallo,
kleiner Fehler, große Wirkung...
Naja, Wochenende ist ja bald.
Damit private Geräte ins Internet dürfen, musst du dies für "sonstige Geräte" erlauben.
In der Schulkonsole kannst du dies ja einfach freigeben.
Die eleganteste Art für den Zugriff auf die Ressourcen ist die ML-Erweiterung "PrivateMap". Damit rufst du am Client nur noch die URL http://s1/privatemap auf und kannst dann per Mausklick alle gewünschten Sachen verbinden.
Gruß,
Schorsch
kleiner Fehler, große Wirkung...
Naja, Wochenende ist ja bald.
Damit private Geräte ins Internet dürfen, musst du dies für "sonstige Geräte" erlauben.
In der Schulkonsole kannst du dies ja einfach freigeben.
Die eleganteste Art für den Zugriff auf die Ressourcen ist die ML-Erweiterung "PrivateMap". Damit rufst du am Client nur noch die URL http://s1/privatemap auf und kannst dann per Mausklick alle gewünschten Sachen verbinden.
Gruß,
Schorsch
Hallo, Schorsch,
nochmals vorab: Herzlichen Dank bis hier für deine Unterstützung. Du hast wirklich geholfen und das weiß ich sehr zu schätzen. Hier noch einige Anmerkungen:
Mittlerweile klappt der Onlinezugang per privatem Notebook. Nach Aufruf des Browsers erscheint ein Anmeldefenster, dass nach Benuterzname und Passwort fragt. Warum? Ich dachte, der Zugang wäre mit der Authentifizierung für das WLAN abgeschlossen?
Eine Funktion in der Schulkonsole (SK 2.5) "sonstige Geräte" konnte ich nicht finden. Meinst du die generelle Internetfreigabe? Die wirkt sich doch eigentlich nur auf die aufgelisteten Workstations (PC1 - PCx) aus - oder? Somit ist eine Internetsteuerung von der SK aus für private Notebooks wohl nicht möglich, da diese nicht gelistet sind?
"PrivateMap" kenne ich bereits und habe auch schon damit gearbeitet. Ich hoffte jedoch, dass die Netzlaufwerke je nach Benutzer sich durch das Radiusserverszenario automatisch integrieren. Ist wohl leider nicht so.
Wenn ich also auch hier mit "PrivateMap" arbeiten muss, stellt sich mir doch die Frage, wozu der ganze Aufwand? Wo liegt der Vorteil eines Radiusservers gegenüber einer WPA2/PSK-Verschlüsselung? Diese Variante habe ich vor einiger Zeit bereits getestet und funktionierte auf Anhieb. Und per PrivateMap waren auch die Netzwerkressourcen zur Verfügung.
Viele Güße!
nochmals vorab: Herzlichen Dank bis hier für deine Unterstützung. Du hast wirklich geholfen und das weiß ich sehr zu schätzen. Hier noch einige Anmerkungen:
Mittlerweile klappt der Onlinezugang per privatem Notebook. Nach Aufruf des Browsers erscheint ein Anmeldefenster, dass nach Benuterzname und Passwort fragt. Warum? Ich dachte, der Zugang wäre mit der Authentifizierung für das WLAN abgeschlossen?
Eine Funktion in der Schulkonsole (SK 2.5) "sonstige Geräte" konnte ich nicht finden. Meinst du die generelle Internetfreigabe? Die wirkt sich doch eigentlich nur auf die aufgelisteten Workstations (PC1 - PCx) aus - oder? Somit ist eine Internetsteuerung von der SK aus für private Notebooks wohl nicht möglich, da diese nicht gelistet sind?
"PrivateMap" kenne ich bereits und habe auch schon damit gearbeitet. Ich hoffte jedoch, dass die Netzlaufwerke je nach Benutzer sich durch das Radiusserverszenario automatisch integrieren. Ist wohl leider nicht so.
Wenn ich also auch hier mit "PrivateMap" arbeiten muss, stellt sich mir doch die Frage, wozu der ganze Aufwand? Wo liegt der Vorteil eines Radiusservers gegenüber einer WPA2/PSK-Verschlüsselung? Diese Variante habe ich vor einiger Zeit bereits getestet und funktionierte auf Anhieb. Und per PrivateMap waren auch die Netzwerkressourcen zur Verfügung.
Viele Güße!
Hallo,
Dank dem Radius kannst du den Zugriff viel feiner steuern, als mit einem PSK. Bei PSK müssen alle diesen Schlüssel kennen. Sollen z.B. auch Schüler das WLAN nutzen dürfen, musst du ihnen den PSK geben. Da kannst du kaum kontrollieren, wer das noch alles bekommt. Wenn du ihn mal ändern musst, bedeutet dies alle APs und alle Clients anzupacken. Und in Protokollen findest du nur die MAC-Adressen. Da wäre es im Notfall fast unmöglich herauszufinden, wer etwas angestellt hat.
Eine Radius-Lösung ist komplizierter aufzusetzen, dann aber viel einfacher zu handhaben. Nimm die entsprechenden Benutzer einfach in die Projektgruppe und wirf sie wieder raus, wenn sie nicht mehr dürfen. Willst du weitere APs, einfach als weitere Radius-Clients hinzufügen. Schuleigene Notebooks kannst du per GPO konfigurieren. Da brauchst du dann gar nichts mehr machen, die laufen wie "verkabelt".
Allerdings bedeutet dies nicht, dass sich nicht-Domänen-Computer (also private) dann wie solche verhalten. Da hier die lokale Benutzeranmeldung bereits durchgeführt wurde, erfolgt keine weitere an der Domäne.
Die Radius-Anmeldung gewährt hier nur die WLAN-Verbindung. Dies bedeutet, dass man sich für den Ressourcenzugriff nochmal anmelden muss. Daher das Hilfsmittel "PrivateMAP".
Dafür kannst du auch mit Home-Editionen kommen, die sich ja eigentlich weigern eine Domänenanmeldung durchzuführen. Hier ist der Radius-Vorteil gegenüber PSKs hauptsächlich, dass du die Benutzer per Namen zulassen kannst.
Das alles mag nach deiner Installations-Odyssee etwas enttäuschend sein, aber so ist es wirklich einfacher zu handhaben.
Die Internetfreigabe für private Notebooks kannst du über die Schulkonsole -> Räume -> sonstige Rechner (ganz unten in der Liste) steuern. Damit sind alle Rechner gemeint, die keinem Raum zugeordnet sind. Dies hatte ich gemeint.
Gruß,
Schorsch
Dank dem Radius kannst du den Zugriff viel feiner steuern, als mit einem PSK. Bei PSK müssen alle diesen Schlüssel kennen. Sollen z.B. auch Schüler das WLAN nutzen dürfen, musst du ihnen den PSK geben. Da kannst du kaum kontrollieren, wer das noch alles bekommt. Wenn du ihn mal ändern musst, bedeutet dies alle APs und alle Clients anzupacken. Und in Protokollen findest du nur die MAC-Adressen. Da wäre es im Notfall fast unmöglich herauszufinden, wer etwas angestellt hat.
Eine Radius-Lösung ist komplizierter aufzusetzen, dann aber viel einfacher zu handhaben. Nimm die entsprechenden Benutzer einfach in die Projektgruppe und wirf sie wieder raus, wenn sie nicht mehr dürfen. Willst du weitere APs, einfach als weitere Radius-Clients hinzufügen. Schuleigene Notebooks kannst du per GPO konfigurieren. Da brauchst du dann gar nichts mehr machen, die laufen wie "verkabelt".
Allerdings bedeutet dies nicht, dass sich nicht-Domänen-Computer (also private) dann wie solche verhalten. Da hier die lokale Benutzeranmeldung bereits durchgeführt wurde, erfolgt keine weitere an der Domäne.
Die Radius-Anmeldung gewährt hier nur die WLAN-Verbindung. Dies bedeutet, dass man sich für den Ressourcenzugriff nochmal anmelden muss. Daher das Hilfsmittel "PrivateMAP".
Dafür kannst du auch mit Home-Editionen kommen, die sich ja eigentlich weigern eine Domänenanmeldung durchzuführen. Hier ist der Radius-Vorteil gegenüber PSKs hauptsächlich, dass du die Benutzer per Namen zulassen kannst.
Das alles mag nach deiner Installations-Odyssee etwas enttäuschend sein, aber so ist es wirklich einfacher zu handhaben.
Die Internetfreigabe für private Notebooks kannst du über die Schulkonsole -> Räume -> sonstige Rechner (ganz unten in der Liste) steuern. Damit sind alle Rechner gemeint, die keinem Raum zugeordnet sind. Dies hatte ich gemeint.
Gruß,
Schorsch
Hallo, Schorsch!
Danke für die Ausführungen, klingt überzeugend.
Wie gesagt habe ich ja noch einen zweiten paedML-Server in der Mangel. Hier taucht nun beim Versuch, per Radiusserver ein privates Notebook anzubinden folgende Meldung am Server in der Ereignisanzeige auf:
Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 04.09.2009
Zeit: 23:18:39
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxxx" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = SCHULE\xxxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Kennung der Anrufstation = 00-22-B0-73-98-6C:SCHULE
Kennung der Empfängerstation = 00-21-5D-E6-42-C4
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = WLAN für private Noteebooks
Authentifizierungstyp = PEAP
EAP-Typ = <unbestimmt>
Code = 262
Ursache = Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.
Habe mal auf eine fehlerhafte Signatur getippt und am Server den Zertifikatdienst komplett entfernt, Zertifikate per Internetoptionen/Inhalte/Zertifikate entfernt und nach Serverneustart den Zertifikatsdienst wieder installiert, in der Hoffnung, dass ein neues Zertifikat generiert wird. S1 teilte mit, dass zwar ein S1-Zertifikat bereits besteht, dies jedoch auf Wunsch überschrieben würde. Dem bin ich gefolgt.
Daraufhin das neue Zertifikat auf das Notebook übertragen. Das Ergebnis blieb jedoch das gleiche. Wo könnte her der Fehler liegen?
Viele Grüße!
Danke für die Ausführungen, klingt überzeugend.
Wie gesagt habe ich ja noch einen zweiten paedML-Server in der Mangel. Hier taucht nun beim Versuch, per Radiusserver ein privates Notebook anzubinden folgende Meldung am Server in der Ereignisanzeige auf:
Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 04.09.2009
Zeit: 23:18:39
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxxx" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = SCHULE\xxxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Kennung der Anrufstation = 00-22-B0-73-98-6C:SCHULE
Kennung der Empfängerstation = 00-21-5D-E6-42-C4
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = WLAN für private Noteebooks
Authentifizierungstyp = PEAP
EAP-Typ = <unbestimmt>
Code = 262
Ursache = Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.
Habe mal auf eine fehlerhafte Signatur getippt und am Server den Zertifikatdienst komplett entfernt, Zertifikate per Internetoptionen/Inhalte/Zertifikate entfernt und nach Serverneustart den Zertifikatsdienst wieder installiert, in der Hoffnung, dass ein neues Zertifikat generiert wird. S1 teilte mit, dass zwar ein S1-Zertifikat bereits besteht, dies jedoch auf Wunsch überschrieben würde. Dem bin ich gefolgt.
Daraufhin das neue Zertifikat auf das Notebook übertragen. Das Ergebnis blieb jedoch das gleiche. Wo könnte her der Fehler liegen?
Viele Grüße!
Hallo,
laut:
http://support.microsoft.com/kb/838502/de
erkennt der Client das CA-Zertifikat nicht.
hatte ich auch schon. Nachdem ich es manuell in den Computer-Zetifikatsspeicher übertragen hatte, ging es dann.
Hatte ich schon im ersten Posting erwähnt:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
oder wie in der KB beschrieben, bei Client einfach die Prüfung ausschalten...
Da du aber den Zertifizierungsstelle ausgetauscht hast, musst du auch kontrollieren, ob wirklich die neuen Zertifikate verwendet werden. Sonst bietet der Server ev. ein altes an, der Client kennt aber nur noch die neue CA und will nicht.
Dazu gehst du in der Zertifikatsspeicher des Servers (Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen)
Dann bei "Eigene Zertifikate" schauen.
Da müsste es ein Zertifikat für "S1" geben mit Beabsichtigte Zwecke= Alle und ausgestellt zu dem Zeitpunkt, als du die Zertifizierungsstelle (CA) neu installiert hast. Dies ist das Zertifizierungsstellen-Zertifikat.
Um sicher zu gehen, löscht du am besten alle anderen Zertifikate. Dann klicke mit der rechten Maustaste in den leeren Bereich und auf Alle aufgaben -> neues Zertifikat anfordern Behalte die Standardwerte bei und klick dich durch. Jetzt hast du ein neues Zertifikat, das sicher von der neuen CA kommt.
Gehe in die IAS-Verwaltung und kontrolliere in den beiden WLAN-Richtlinien bei Profil bearbeiten -> Authentifizierung -> EAP-Methoden -> Geschützes EAP (PEAP) Bearbeiten und kontrolliere, ob das dort ausgewählte Zertifikat das vorhin erstellte ist. Wenn nicht, dann ändern, mit ok bestätigen und den IAS neu starten.
Gruß,
Schorsch
laut:
http://support.microsoft.com/kb/838502/de
erkennt der Client das CA-Zertifikat nicht.
hatte ich auch schon. Nachdem ich es manuell in den Computer-Zetifikatsspeicher übertragen hatte, ging es dann.
Hatte ich schon im ersten Posting erwähnt:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
oder wie in der KB beschrieben, bei Client einfach die Prüfung ausschalten...
Da du aber den Zertifizierungsstelle ausgetauscht hast, musst du auch kontrollieren, ob wirklich die neuen Zertifikate verwendet werden. Sonst bietet der Server ev. ein altes an, der Client kennt aber nur noch die neue CA und will nicht.
Dazu gehst du in der Zertifikatsspeicher des Servers (Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen)
Dann bei "Eigene Zertifikate" schauen.
Da müsste es ein Zertifikat für "S1" geben mit Beabsichtigte Zwecke= Alle und ausgestellt zu dem Zeitpunkt, als du die Zertifizierungsstelle (CA) neu installiert hast. Dies ist das Zertifizierungsstellen-Zertifikat.
Um sicher zu gehen, löscht du am besten alle anderen Zertifikate. Dann klicke mit der rechten Maustaste in den leeren Bereich und auf Alle aufgaben -> neues Zertifikat anfordern Behalte die Standardwerte bei und klick dich durch. Jetzt hast du ein neues Zertifikat, das sicher von der neuen CA kommt.
Gehe in die IAS-Verwaltung und kontrolliere in den beiden WLAN-Richtlinien bei Profil bearbeiten -> Authentifizierung -> EAP-Methoden -> Geschützes EAP (PEAP) Bearbeiten und kontrolliere, ob das dort ausgewählte Zertifikat das vorhin erstellte ist. Wenn nicht, dann ändern, mit ok bestätigen und den IAS neu starten.
Gruß,
Schorsch
Hallo, Schorsch!
Danke für die Rückmeldung! Die Verbindung steht dank deiner Hilfe, wieder einmal - Halleluljah!
Habe am Server per mmc "Eigene Zertifikate" geleert und neu angelegt. Problem noch: Das Zertifikat läuft jetzt nur für ein Jahr. Kann man das ändern?
Noch ein Problem: im mmc tauchen am Server unter "Vetrauenswürdige Stammzertifizierungsstellen" alle bisher angelegten Zertifikate auf - und das sind bei meinen x Versuchen eine ganze Menge. Habe diese natürlich gelöscht aber siehe da, die tauchen nach einem Neustart immer wieder auf.
Warum das zum Problem wird: In den GPO-Einstellungen für die Verteilung der Einstellungen tauchen nämlich diese Zertifikate alle wieder auf und ich kann nicht sagen, da ja alle die gleiche Bezeichnung haben "S1", welcher jetzt das richtige Zertifikat ist. Natürlich könnte ich ein neues Zertifikat mit abweichenden Namen anlegen, bin mir jedoch unsicher, ob das irgendwelche Auswirkungen haben könnte.
Grundsätzlich die Frage: Wie lösche ich am Server "Vertrau... Zertifkate" dauerhaft. Auch das Löschen per "Internetoptionen/Inhalte/Zertifikate" blieb erfolglos.
Lieber Schorsch, an dieser Stelle nochmals ein herzliches Dankeschön für deine Bemühungen. Du siehst an der Besucherfrequenz dieses Threads: So wirklich Ahnung von dieser komplexen Thematik scheinen nur wenige zu haben. Umso glücklicher bin ich, dass ich zumindest einen fand, der so kompetent derart Tief in der Materie steckt!
Viele Grüße aus dem Frankenland!
Danke für die Rückmeldung! Die Verbindung steht dank deiner Hilfe, wieder einmal - Halleluljah!
Habe am Server per mmc "Eigene Zertifikate" geleert und neu angelegt. Problem noch: Das Zertifikat läuft jetzt nur für ein Jahr. Kann man das ändern?
Noch ein Problem: im mmc tauchen am Server unter "Vetrauenswürdige Stammzertifizierungsstellen" alle bisher angelegten Zertifikate auf - und das sind bei meinen x Versuchen eine ganze Menge. Habe diese natürlich gelöscht aber siehe da, die tauchen nach einem Neustart immer wieder auf.
Warum das zum Problem wird: In den GPO-Einstellungen für die Verteilung der Einstellungen tauchen nämlich diese Zertifikate alle wieder auf und ich kann nicht sagen, da ja alle die gleiche Bezeichnung haben "S1", welcher jetzt das richtige Zertifikat ist. Natürlich könnte ich ein neues Zertifikat mit abweichenden Namen anlegen, bin mir jedoch unsicher, ob das irgendwelche Auswirkungen haben könnte.
Grundsätzlich die Frage: Wie lösche ich am Server "Vertrau... Zertifkate" dauerhaft. Auch das Löschen per "Internetoptionen/Inhalte/Zertifikate" blieb erfolglos.
Lieber Schorsch, an dieser Stelle nochmals ein herzliches Dankeschön für deine Bemühungen. Du siehst an der Besucherfrequenz dieses Threads: So wirklich Ahnung von dieser komplexen Thematik scheinen nur wenige zu haben. Umso glücklicher bin ich, dass ich zumindest einen fand, der so kompetent derart Tief in der Materie steckt!
Viele Grüße aus dem Frankenland!
Hallo,
die Zertifikate laufen immer nur ein Jahr. Aber als DomainController sollte er es selbstständig erneuern. Vielleicht machst du dir aber sicherheitshalber eine Terminerinnerung für nächstes Jahr und kontrollierst dies.
Falls es doch nicht automatisch geht, kannst du es per Rechte Maustaste auf das Zertifikat Alle Aufgaben -> Zertifikat mit demselben Schlüssel erneuern verlängern. Längere Zeiträume gehen meine ich nur mit der Enterprise Edition.
Die alten Stammzertifizierungsstellenzertifikate kommen aus dem ActiveDirectory. Daher musst du dies auch nicht manuell auf Domänenrechnern verteilen. Nun stecken da aber dummerweise noch die alten drin.
Du kannst versuchen, diese per Hand zu löschen:
Start -> Ausführen ->adsiedit.msc
Configuration -> CD=Configuration -> CN=Services -> CN=Public Key Services -> CN=Certification Authorities
Wenn hier mehrere sind, musst du in den Eigenschaften nach whenCreated schauen und die alten dann löschen.
Gruß,
Schorsch
P.S. zu deiner Frage aus der Mailingliste: privateMap geht auch auf Home-Editionen
die Zertifikate laufen immer nur ein Jahr. Aber als DomainController sollte er es selbstständig erneuern. Vielleicht machst du dir aber sicherheitshalber eine Terminerinnerung für nächstes Jahr und kontrollierst dies.
Falls es doch nicht automatisch geht, kannst du es per Rechte Maustaste auf das Zertifikat Alle Aufgaben -> Zertifikat mit demselben Schlüssel erneuern verlängern. Längere Zeiträume gehen meine ich nur mit der Enterprise Edition.
Die alten Stammzertifizierungsstellenzertifikate kommen aus dem ActiveDirectory. Daher musst du dies auch nicht manuell auf Domänenrechnern verteilen. Nun stecken da aber dummerweise noch die alten drin.
Du kannst versuchen, diese per Hand zu löschen:
Start -> Ausführen ->adsiedit.msc
Configuration -> CD=Configuration -> CN=Services -> CN=Public Key Services -> CN=Certification Authorities
Wenn hier mehrere sind, musst du in den Eigenschaften nach whenCreated schauen und die alten dann löschen.
Gruß,
Schorsch
P.S. zu deiner Frage aus der Mailingliste: privateMap geht auch auf Home-Editionen
Hallo, Schorsch!
Danke für die Rückmeldung.
Das mit den Zertifikaten werde ich testen. Zur Mailinglist: Habe hier nämlich u. a. auch ein Notebook rumliegen, das mit XP-Home-Version versorgt ist und die Medlung bei PrivateMap bringt, dass keine Netzlaufwerke gefunden werden. Bei zwei anderen Notebooks mit XP-Pro taucht dieses Prob nicht auf. Deswegen die Anfrage.
So, noch eine Woche Ferien in Bayern und bis dato kann das Schuljahr jetzt ruhig starten. Werde in der kommenden Woche den Server wieder in der Schule anschließen, die 5 restlichen APs einbinden und ausgiebig testen. Ca. 100 private WLAN-Notebooks sollen per Radiusserver ab kommenden Schuljahr an die paedML. Zu Beginn ist sicherlich mit einigen exotischen Problemen zu rechnen. Hoffe, ich darf mich auch damit dann an dich wenden.
Zum Schluss noch eine Frage zu folgendem Szenario: Schüler 1 möchte mit seinen paedml-Zugangsdaten per privatem Notebook von Schüler 2 eine Radiusserverbindung zur paedml herstellen. Derzeit sind die Einstellungen so gestaltet, dass die Verbindung automatisch hergestellt wird, sobald dies einmal durchgeführt wurde, d. h., Schüler 1 würde dann mit den Zugangsdaten von Schüler 2 angemeldet sein. Schlecht.
Frage: Wie kann ich eine Neuanmeldung am privaten Notebook bei Bedarf erzwingen? Konnte den entsprechenden Schalter in den Einstellungen am Notebook "Drahtlose Verbindungen" nicht finden. Bisher hat nichts funktioniert. Oder läuft das über den Server?
Grüße!
Danke für die Rückmeldung.
Das mit den Zertifikaten werde ich testen. Zur Mailinglist: Habe hier nämlich u. a. auch ein Notebook rumliegen, das mit XP-Home-Version versorgt ist und die Medlung bei PrivateMap bringt, dass keine Netzlaufwerke gefunden werden. Bei zwei anderen Notebooks mit XP-Pro taucht dieses Prob nicht auf. Deswegen die Anfrage.
So, noch eine Woche Ferien in Bayern und bis dato kann das Schuljahr jetzt ruhig starten. Werde in der kommenden Woche den Server wieder in der Schule anschließen, die 5 restlichen APs einbinden und ausgiebig testen. Ca. 100 private WLAN-Notebooks sollen per Radiusserver ab kommenden Schuljahr an die paedML. Zu Beginn ist sicherlich mit einigen exotischen Problemen zu rechnen. Hoffe, ich darf mich auch damit dann an dich wenden.
Zum Schluss noch eine Frage zu folgendem Szenario: Schüler 1 möchte mit seinen paedml-Zugangsdaten per privatem Notebook von Schüler 2 eine Radiusserverbindung zur paedml herstellen. Derzeit sind die Einstellungen so gestaltet, dass die Verbindung automatisch hergestellt wird, sobald dies einmal durchgeführt wurde, d. h., Schüler 1 würde dann mit den Zugangsdaten von Schüler 2 angemeldet sein. Schlecht.
Frage: Wie kann ich eine Neuanmeldung am privaten Notebook bei Bedarf erzwingen? Konnte den entsprechenden Schalter in den Einstellungen am Notebook "Drahtlose Verbindungen" nicht finden. Bisher hat nichts funktioniert. Oder läuft das über den Server?
Grüße!
Hallo,
klar, melde dich einfach wenn du noch Probleme hast.
Zum Löschen der Anmeldedaten:
Habe im Moment nur ein Win7-Notebook, da gibt es einen solche Funktion.
Ansonsten kannst du gleich die Vorteile des Radius-Systems nutzen: Setze das Passwort des Schüler1 einfach zurück und schon fragt das Notebook wieder danach.
Falls der Schüler1 das gegen die Nutzungsrechte getan hat, kannst du ihn auch ganz aus der WLAN-Gruppe werfen. Meiner Erfahrung nach sprechen sich solche "Exempel" recht schnell rum.
Gruß,
Schorsch
klar, melde dich einfach wenn du noch Probleme hast.
Zum Löschen der Anmeldedaten:
Habe im Moment nur ein Win7-Notebook, da gibt es einen solche Funktion.
Ansonsten kannst du gleich die Vorteile des Radius-Systems nutzen: Setze das Passwort des Schüler1 einfach zurück und schon fragt das Notebook wieder danach.
Falls der Schüler1 das gegen die Nutzungsrechte getan hat, kannst du ihn auch ganz aus der WLAN-Gruppe werfen. Meiner Erfahrung nach sprechen sich solche "Exempel" recht schnell rum.
Gruß,
Schorsch
Hallo!
Danke für das Angebot und nächste Woche gehts dann rund;)
Viele Grüße und nochmals Danke für alles!
Danke für das Angebot und nächste Woche gehts dann rund;)
Viele Grüße und nochmals Danke für alles!
