Alternatives Serverzertifikat zum Windows Serverzertifikatdienst gesucht
Hallo,
möchte per Radiusserver Netzwerkressourcen zugänglich machen und habe nach der paedml-Anleitung gearbeitet. Siehe hier: paedML
Auf zwei verschiedenen physikalischen paedml-Servern hat die Verbindung nicht funktioniert. Ich tippe mal auf ein fehlerhaftes Zertifikat und suche deshalb eine Alternative zum Serverzertifikat von Windows.
Ein weiterer Grund dafür ist, dass auch externe Geräte mit MAC-OS die Netzwerkressourcen nutzen sollen und diese nicht mit dem Windows-Zertifikat arbeiten.
Viele Grüße!
möchte per Radiusserver Netzwerkressourcen zugänglich machen und habe nach der paedml-Anleitung gearbeitet. Siehe hier: paedML
Auf zwei verschiedenen physikalischen paedml-Servern hat die Verbindung nicht funktioniert. Ich tippe mal auf ein fehlerhaftes Zertifikat und suche deshalb eine Alternative zum Serverzertifikat von Windows.
Ein weiterer Grund dafür ist, dass auch externe Geräte mit MAC-OS die Netzwerkressourcen nutzen sollen und diese nicht mit dem Windows-Zertifikat arbeiten.
Viele Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124123
Url: https://administrator.de/contentid/124123
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
Für solche Probleme gibt es eine Hotline, die helfen einem da gerne weiter.
Aber ich hatte auch schon festgestellt, das manche private Windows-Clients das CA-Zertifikat nicht akzeptieren, wenn es wie in der Anleitung beschrieben importiert wird. Man sollte es dann am besten in das Computerkonto importieren:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzfügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
Für Notebooks, die Domänenmitglieder sind, braucht man das nicht machen. Wird die GPO gemäß Anleitung angelegt, laufen die
Was die MACs betrifft: auch dies geht. Ich habe zwar selbst keins, kenne aber Leute, die arbeiten mit MACs (10.4 oder neuer) in der ML.
Man muss serverseitig die Konfiguration für "private Notebooks" durchführen und dann das Stammzertifikat in den Schlüsselring des MACs importieren und bei der WLAN-Konfiguration den Typ "PEAP (MS-CHAP v2)" auswählen. Probleme gibt es dann noch bei dem Zugriff auf die Homeshares, da die ML hier sehr eingeschränkte NTFS-Rechte hat, mit der der SMB-Client vom MAC oftmals nicht klarkommt. Am einfachsten ist es, den Home-Ordner der MAC-Benutzer selbst nochmal freizugeben und diesen zu verwenden.
Gruß,
Schorsch
Für solche Probleme gibt es eine Hotline, die helfen einem da gerne weiter.
Aber ich hatte auch schon festgestellt, das manche private Windows-Clients das CA-Zertifikat nicht akzeptieren, wenn es wie in der Anleitung beschrieben importiert wird. Man sollte es dann am besten in das Computerkonto importieren:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzfügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
Für Notebooks, die Domänenmitglieder sind, braucht man das nicht machen. Wird die GPO gemäß Anleitung angelegt, laufen die
Was die MACs betrifft: auch dies geht. Ich habe zwar selbst keins, kenne aber Leute, die arbeiten mit MACs (10.4 oder neuer) in der ML.
Man muss serverseitig die Konfiguration für "private Notebooks" durchführen und dann das Stammzertifikat in den Schlüsselring des MACs importieren und bei der WLAN-Konfiguration den Typ "PEAP (MS-CHAP v2)" auswählen. Probleme gibt es dann noch bei dem Zugriff auf die Homeshares, da die ML hier sehr eingeschränkte NTFS-Rechte hat, mit der der SMB-Client vom MAC oftmals nicht klarkommt. Am einfachsten ist es, den Home-Ordner der MAC-Benutzer selbst nochmal freizugeben und diesen zu verwenden.
Gruß,
Schorsch
Hallo,
na, dann schauen wir mal
Die ersten beiden Werte halten die Ports für den IAS frei, der letzte die für den IPSec-Dienst (der hat zwar nichts mit Radius zu tun, aber wenn du gerade dabei bist)
Gruß,
Schorsch
na, dann schauen wir mal
- Was für einen AP verwendest du denn?
- Welche Meldung kommt am Client (Ereignisprotokoll)?
- Welche Meldung kommt im Radius-Log?
- Läuft der IAS-Dienst überhaupt?
1645-1646
1812-1813
4500-4500
Gruß,
Schorsch
Hallo,
da der IAS keine Logs anlegt, vermute ich eher, dass er nicht korrekt läuft. Wäre das Zertifikat die Ursache, hätte der IAS und der Client entsprechende Fehler protokollieren müssen.
Bei dir sieht es aber so aus, als ob der Client die WLAN-Verbindung startet und den Kontakt zum AP auch soweit aufbauen kann, dieser aber den IAS nicht erreicht. Damit kommt es zu einem TimeOut und der Client probiert es dann im 10sek-Takt immer wieder. Hätte die Authentifizierung fehlgeschlagen, würde der Client und der Server dies protokollieren und dann keinen weiteren Versuch starten.
Prüfe mal den Radius-Schlüssel, ob er bei Server und AP identisch ist. Ach ja, keine Sonderzeichen, meiner Erfahrung nach haben D-Links damit Probleme.
Setze auch den Haken bei "Anforderung muss das Attribut "Message Authenticator" enthalten" (Hast du laut deiner Doku nicht gemacht).
Ah, gerade sehe ich, das in der Doku etwas fehlt:
Der IAS muss im AD registriert werden, sonst geht da gar nichts. Und dieser Punkt ist nicht dokumentiert:
Im IAS Manager einfach mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal) klicken und Server im Active Directory registrieren
Gruß,
Schorsch
da der IAS keine Logs anlegt, vermute ich eher, dass er nicht korrekt läuft. Wäre das Zertifikat die Ursache, hätte der IAS und der Client entsprechende Fehler protokollieren müssen.
Bei dir sieht es aber so aus, als ob der Client die WLAN-Verbindung startet und den Kontakt zum AP auch soweit aufbauen kann, dieser aber den IAS nicht erreicht. Damit kommt es zu einem TimeOut und der Client probiert es dann im 10sek-Takt immer wieder. Hätte die Authentifizierung fehlgeschlagen, würde der Client und der Server dies protokollieren und dann keinen weiteren Versuch starten.
Prüfe mal den Radius-Schlüssel, ob er bei Server und AP identisch ist. Ach ja, keine Sonderzeichen, meiner Erfahrung nach haben D-Links damit Probleme.
Setze auch den Haken bei "Anforderung muss das Attribut "Message Authenticator" enthalten" (Hast du laut deiner Doku nicht gemacht).
Ah, gerade sehe ich, das in der Doku etwas fehlt:
Der IAS muss im AD registriert werden, sonst geht da gar nichts. Und dieser Punkt ist nicht dokumentiert:
Im IAS Manager einfach mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal) klicken und Server im Active Directory registrieren
Gruß,
Schorsch
Hallo,
kleiner Fehler, große Wirkung...
Naja, Wochenende ist ja bald.
Damit private Geräte ins Internet dürfen, musst du dies für "sonstige Geräte" erlauben.
In der Schulkonsole kannst du dies ja einfach freigeben.
Die eleganteste Art für den Zugriff auf die Ressourcen ist die ML-Erweiterung "PrivateMap". Damit rufst du am Client nur noch die URL http://s1/privatemap auf und kannst dann per Mausklick alle gewünschten Sachen verbinden.
Gruß,
Schorsch
kleiner Fehler, große Wirkung...
Naja, Wochenende ist ja bald.
Damit private Geräte ins Internet dürfen, musst du dies für "sonstige Geräte" erlauben.
In der Schulkonsole kannst du dies ja einfach freigeben.
Die eleganteste Art für den Zugriff auf die Ressourcen ist die ML-Erweiterung "PrivateMap". Damit rufst du am Client nur noch die URL http://s1/privatemap auf und kannst dann per Mausklick alle gewünschten Sachen verbinden.
Gruß,
Schorsch
Hallo,
Dank dem Radius kannst du den Zugriff viel feiner steuern, als mit einem PSK. Bei PSK müssen alle diesen Schlüssel kennen. Sollen z.B. auch Schüler das WLAN nutzen dürfen, musst du ihnen den PSK geben. Da kannst du kaum kontrollieren, wer das noch alles bekommt. Wenn du ihn mal ändern musst, bedeutet dies alle APs und alle Clients anzupacken. Und in Protokollen findest du nur die MAC-Adressen. Da wäre es im Notfall fast unmöglich herauszufinden, wer etwas angestellt hat.
Eine Radius-Lösung ist komplizierter aufzusetzen, dann aber viel einfacher zu handhaben. Nimm die entsprechenden Benutzer einfach in die Projektgruppe und wirf sie wieder raus, wenn sie nicht mehr dürfen. Willst du weitere APs, einfach als weitere Radius-Clients hinzufügen. Schuleigene Notebooks kannst du per GPO konfigurieren. Da brauchst du dann gar nichts mehr machen, die laufen wie "verkabelt".
Allerdings bedeutet dies nicht, dass sich nicht-Domänen-Computer (also private) dann wie solche verhalten. Da hier die lokale Benutzeranmeldung bereits durchgeführt wurde, erfolgt keine weitere an der Domäne.
Die Radius-Anmeldung gewährt hier nur die WLAN-Verbindung. Dies bedeutet, dass man sich für den Ressourcenzugriff nochmal anmelden muss. Daher das Hilfsmittel "PrivateMAP".
Dafür kannst du auch mit Home-Editionen kommen, die sich ja eigentlich weigern eine Domänenanmeldung durchzuführen. Hier ist der Radius-Vorteil gegenüber PSKs hauptsächlich, dass du die Benutzer per Namen zulassen kannst.
Das alles mag nach deiner Installations-Odyssee etwas enttäuschend sein, aber so ist es wirklich einfacher zu handhaben.
Die Internetfreigabe für private Notebooks kannst du über die Schulkonsole -> Räume -> sonstige Rechner (ganz unten in der Liste) steuern. Damit sind alle Rechner gemeint, die keinem Raum zugeordnet sind. Dies hatte ich gemeint.
Gruß,
Schorsch
Dank dem Radius kannst du den Zugriff viel feiner steuern, als mit einem PSK. Bei PSK müssen alle diesen Schlüssel kennen. Sollen z.B. auch Schüler das WLAN nutzen dürfen, musst du ihnen den PSK geben. Da kannst du kaum kontrollieren, wer das noch alles bekommt. Wenn du ihn mal ändern musst, bedeutet dies alle APs und alle Clients anzupacken. Und in Protokollen findest du nur die MAC-Adressen. Da wäre es im Notfall fast unmöglich herauszufinden, wer etwas angestellt hat.
Eine Radius-Lösung ist komplizierter aufzusetzen, dann aber viel einfacher zu handhaben. Nimm die entsprechenden Benutzer einfach in die Projektgruppe und wirf sie wieder raus, wenn sie nicht mehr dürfen. Willst du weitere APs, einfach als weitere Radius-Clients hinzufügen. Schuleigene Notebooks kannst du per GPO konfigurieren. Da brauchst du dann gar nichts mehr machen, die laufen wie "verkabelt".
Allerdings bedeutet dies nicht, dass sich nicht-Domänen-Computer (also private) dann wie solche verhalten. Da hier die lokale Benutzeranmeldung bereits durchgeführt wurde, erfolgt keine weitere an der Domäne.
Die Radius-Anmeldung gewährt hier nur die WLAN-Verbindung. Dies bedeutet, dass man sich für den Ressourcenzugriff nochmal anmelden muss. Daher das Hilfsmittel "PrivateMAP".
Dafür kannst du auch mit Home-Editionen kommen, die sich ja eigentlich weigern eine Domänenanmeldung durchzuführen. Hier ist der Radius-Vorteil gegenüber PSKs hauptsächlich, dass du die Benutzer per Namen zulassen kannst.
Das alles mag nach deiner Installations-Odyssee etwas enttäuschend sein, aber so ist es wirklich einfacher zu handhaben.
Die Internetfreigabe für private Notebooks kannst du über die Schulkonsole -> Räume -> sonstige Rechner (ganz unten in der Liste) steuern. Damit sind alle Rechner gemeint, die keinem Raum zugeordnet sind. Dies hatte ich gemeint.
Gruß,
Schorsch
Hallo,
laut:
http://support.microsoft.com/kb/838502/de
erkennt der Client das CA-Zertifikat nicht.
hatte ich auch schon. Nachdem ich es manuell in den Computer-Zetifikatsspeicher übertragen hatte, ging es dann.
Hatte ich schon im ersten Posting erwähnt:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
oder wie in der KB beschrieben, bei Client einfach die Prüfung ausschalten...
Da du aber den Zertifizierungsstelle ausgetauscht hast, musst du auch kontrollieren, ob wirklich die neuen Zertifikate verwendet werden. Sonst bietet der Server ev. ein altes an, der Client kennt aber nur noch die neue CA und will nicht.
Dazu gehst du in der Zertifikatsspeicher des Servers (Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen)
Dann bei "Eigene Zertifikate" schauen.
Da müsste es ein Zertifikat für "S1" geben mit Beabsichtigte Zwecke= Alle und ausgestellt zu dem Zeitpunkt, als du die Zertifizierungsstelle (CA) neu installiert hast. Dies ist das Zertifizierungsstellen-Zertifikat.
Um sicher zu gehen, löscht du am besten alle anderen Zertifikate. Dann klicke mit der rechten Maustaste in den leeren Bereich und auf Alle aufgaben -> neues Zertifikat anfordern Behalte die Standardwerte bei und klick dich durch. Jetzt hast du ein neues Zertifikat, das sicher von der neuen CA kommt.
Gehe in die IAS-Verwaltung und kontrolliere in den beiden WLAN-Richtlinien bei Profil bearbeiten -> Authentifizierung -> EAP-Methoden -> Geschützes EAP (PEAP) Bearbeiten und kontrolliere, ob das dort ausgewählte Zertifikat das vorhin erstellte ist. Wenn nicht, dann ändern, mit ok bestätigen und den IAS neu starten.
Gruß,
Schorsch
laut:
http://support.microsoft.com/kb/838502/de
erkennt der Client das CA-Zertifikat nicht.
hatte ich auch schon. Nachdem ich es manuell in den Computer-Zetifikatsspeicher übertragen hatte, ging es dann.
Hatte ich schon im ersten Posting erwähnt:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
oder wie in der KB beschrieben, bei Client einfach die Prüfung ausschalten...
Da du aber den Zertifizierungsstelle ausgetauscht hast, musst du auch kontrollieren, ob wirklich die neuen Zertifikate verwendet werden. Sonst bietet der Server ev. ein altes an, der Client kennt aber nur noch die neue CA und will nicht.
Dazu gehst du in der Zertifikatsspeicher des Servers (Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen)
Dann bei "Eigene Zertifikate" schauen.
Da müsste es ein Zertifikat für "S1" geben mit Beabsichtigte Zwecke= Alle und ausgestellt zu dem Zeitpunkt, als du die Zertifizierungsstelle (CA) neu installiert hast. Dies ist das Zertifizierungsstellen-Zertifikat.
Um sicher zu gehen, löscht du am besten alle anderen Zertifikate. Dann klicke mit der rechten Maustaste in den leeren Bereich und auf Alle aufgaben -> neues Zertifikat anfordern Behalte die Standardwerte bei und klick dich durch. Jetzt hast du ein neues Zertifikat, das sicher von der neuen CA kommt.
Gehe in die IAS-Verwaltung und kontrolliere in den beiden WLAN-Richtlinien bei Profil bearbeiten -> Authentifizierung -> EAP-Methoden -> Geschützes EAP (PEAP) Bearbeiten und kontrolliere, ob das dort ausgewählte Zertifikat das vorhin erstellte ist. Wenn nicht, dann ändern, mit ok bestätigen und den IAS neu starten.
Gruß,
Schorsch
Hallo,
die Zertifikate laufen immer nur ein Jahr. Aber als DomainController sollte er es selbstständig erneuern. Vielleicht machst du dir aber sicherheitshalber eine Terminerinnerung für nächstes Jahr und kontrollierst dies.
Falls es doch nicht automatisch geht, kannst du es per Rechte Maustaste auf das Zertifikat Alle Aufgaben -> Zertifikat mit demselben Schlüssel erneuern verlängern. Längere Zeiträume gehen meine ich nur mit der Enterprise Edition.
Die alten Stammzertifizierungsstellenzertifikate kommen aus dem ActiveDirectory. Daher musst du dies auch nicht manuell auf Domänenrechnern verteilen. Nun stecken da aber dummerweise noch die alten drin.
Du kannst versuchen, diese per Hand zu löschen:
Start -> Ausführen ->adsiedit.msc
Configuration -> CD=Configuration -> CN=Services -> CN=Public Key Services -> CN=Certification Authorities
Wenn hier mehrere sind, musst du in den Eigenschaften nach whenCreated schauen und die alten dann löschen.
Gruß,
Schorsch
P.S. zu deiner Frage aus der Mailingliste: privateMap geht auch auf Home-Editionen
die Zertifikate laufen immer nur ein Jahr. Aber als DomainController sollte er es selbstständig erneuern. Vielleicht machst du dir aber sicherheitshalber eine Terminerinnerung für nächstes Jahr und kontrollierst dies.
Falls es doch nicht automatisch geht, kannst du es per Rechte Maustaste auf das Zertifikat Alle Aufgaben -> Zertifikat mit demselben Schlüssel erneuern verlängern. Längere Zeiträume gehen meine ich nur mit der Enterprise Edition.
Die alten Stammzertifizierungsstellenzertifikate kommen aus dem ActiveDirectory. Daher musst du dies auch nicht manuell auf Domänenrechnern verteilen. Nun stecken da aber dummerweise noch die alten drin.
Du kannst versuchen, diese per Hand zu löschen:
Start -> Ausführen ->adsiedit.msc
Configuration -> CD=Configuration -> CN=Services -> CN=Public Key Services -> CN=Certification Authorities
Wenn hier mehrere sind, musst du in den Eigenschaften nach whenCreated schauen und die alten dann löschen.
Gruß,
Schorsch
P.S. zu deiner Frage aus der Mailingliste: privateMap geht auch auf Home-Editionen
Hallo,
klar, melde dich einfach wenn du noch Probleme hast.
Zum Löschen der Anmeldedaten:
Habe im Moment nur ein Win7-Notebook, da gibt es einen solche Funktion.
Ansonsten kannst du gleich die Vorteile des Radius-Systems nutzen: Setze das Passwort des Schüler1 einfach zurück und schon fragt das Notebook wieder danach.
Falls der Schüler1 das gegen die Nutzungsrechte getan hat, kannst du ihn auch ganz aus der WLAN-Gruppe werfen. Meiner Erfahrung nach sprechen sich solche "Exempel" recht schnell rum.
Gruß,
Schorsch
klar, melde dich einfach wenn du noch Probleme hast.
Zum Löschen der Anmeldedaten:
Habe im Moment nur ein Win7-Notebook, da gibt es einen solche Funktion.
Ansonsten kannst du gleich die Vorteile des Radius-Systems nutzen: Setze das Passwort des Schüler1 einfach zurück und schon fragt das Notebook wieder danach.
Falls der Schüler1 das gegen die Nutzungsrechte getan hat, kannst du ihn auch ganz aus der WLAN-Gruppe werfen. Meiner Erfahrung nach sprechen sich solche "Exempel" recht schnell rum.
Gruß,
Schorsch