5
Drucker in 802.1x einbinden
Hallo zusammen,
ich stehe zurzeit vor der Herausforderung Sämtliche Drucker Kopierer etc. über 802.1. Wired einzubinden. Grundlage dafür ist ein Windows Server 2019 mit NPS Dienst und Cisco Switche die 802.1x verstehen. Windows Clients die der Domäne angehören funktionieren einwandfrei. Authentifizieren tuen sich diese über Gruppenzugehörigkeiten im Active Directory und mittels PEAP.
Jetzt zu meiner Frage wie würde ich bei einem nicht Domänen Mitgliedern vorgehen (Als Testgerät dient ein Drucker der Firma Kyocera P2040dn). (Auf eine Zertifikatsbasierte Lösung sollte erstmal verzichtet werden). Ich habe einen seperaten AD User für den oben benannten Drucker angelegt welcher auf Grundlage der Gruppenzugehörigkeit im AD und der dazugehörigen Netzwerk Richtlinie auf den Zugriff auf das Netzwerk kriegen sollte. Jedoch funktioniert dies nicht.
Dem Server log des DCs als auch des NPS Servers ist zu entnehmen das die Anfrage für den Benutzer durchgestellt wurde. Jedoch seien entweder das Passwort oder der Benutzername falsch. Jedoch wird er Benutzer zu 100% gefunden da dieser nach einigen Anmeldeversuchen des Druckers im AD gesperrt wird. Im Anhang habe ich noch ein Bild des Konfigurationsmenüs des Druckers angehangen.
Hat jemand eine Ahnung woran das liegen könnte?
Wie sind denn überhaupt so die Erfahrungen mit 802.1x in Kombination mit Druckern/Kopieren, in Foren findet man ja relativ wenig dazu.
Danke für eure Antworten
ich stehe zurzeit vor der Herausforderung Sämtliche Drucker Kopierer etc. über 802.1. Wired einzubinden. Grundlage dafür ist ein Windows Server 2019 mit NPS Dienst und Cisco Switche die 802.1x verstehen. Windows Clients die der Domäne angehören funktionieren einwandfrei. Authentifizieren tuen sich diese über Gruppenzugehörigkeiten im Active Directory und mittels PEAP.
Jetzt zu meiner Frage wie würde ich bei einem nicht Domänen Mitgliedern vorgehen (Als Testgerät dient ein Drucker der Firma Kyocera P2040dn). (Auf eine Zertifikatsbasierte Lösung sollte erstmal verzichtet werden). Ich habe einen seperaten AD User für den oben benannten Drucker angelegt welcher auf Grundlage der Gruppenzugehörigkeit im AD und der dazugehörigen Netzwerk Richtlinie auf den Zugriff auf das Netzwerk kriegen sollte. Jedoch funktioniert dies nicht.
Dem Server log des DCs als auch des NPS Servers ist zu entnehmen das die Anfrage für den Benutzer durchgestellt wurde. Jedoch seien entweder das Passwort oder der Benutzername falsch. Jedoch wird er Benutzer zu 100% gefunden da dieser nach einigen Anmeldeversuchen des Druckers im AD gesperrt wird. Im Anhang habe ich noch ein Bild des Konfigurationsmenüs des Druckers angehangen.
Hat jemand eine Ahnung woran das liegen könnte?
Wie sind denn überhaupt so die Erfahrungen mit 802.1x in Kombination mit Druckern/Kopieren, in Foren findet man ja relativ wenig dazu.
Danke für eure Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82499238672
Url: https://administrator.de/contentid/82499238672
Printed on: July 27, 2024 at 16:07 o'clock
5 Comments
Latest comment
Das kommt darauf an was der NPS als Usernamen erwartet. Möglich das der die Domain oder Hostname dazuhaben möchte oder der Client sendet sie ungefragt. Siehe zu der Thematik auch HIER.
Wäre in jedem Falle mal ein Versuch wert, da das o.a Verhalten dies vermuten lässt.
Das Setup des Druckers ist soweit richtig. Da gibts ja auch nicht viel einzustellen.
Wäre in jedem Falle mal ein Versuch wert, da das o.a Verhalten dies vermuten lässt.
Das Setup des Druckers ist soweit richtig. Da gibts ja auch nicht viel einzustellen.
Moin.
Geräte stellen oft ein host/ dem Benutzernamen voran, den muss dann im NPS rausfiltern, das sieht man dann im Eventlog
NPS Anmeldung ohne host
Gruß sid.
Geräte stellen oft ein host/ dem Benutzernamen voran, den muss dann im NPS rausfiltern, das sieht man dann im Eventlog
NPS Anmeldung ohne host
Gruß sid.
Danke für die Antworten hört sich beides vielversprechend an… Werde ich morgen mal ausprobieren und nochmal Rückmeldung geben.
Zitat von @aqui:
Das kommt darauf an was der NPS als Usernamen erwartet. Möglich das der die Domain oder Hostname dazuhaben möchte oder der Client sendet sie ungefragt. Siehe zu der Thematik auch HIER.
Wäre in jedem Falle mal ein Versuch wert, da das o.a Verhalten dies vermuten lässt.
Das Setup des Druckers ist soweit richtig. Da gibts ja auch nicht viel einzustellen.
Das kommt darauf an was der NPS als Usernamen erwartet. Möglich das der die Domain oder Hostname dazuhaben möchte oder der Client sendet sie ungefragt. Siehe zu der Thematik auch HIER.
Wäre in jedem Falle mal ein Versuch wert, da das o.a Verhalten dies vermuten lässt.
Das Setup des Druckers ist soweit richtig. Da gibts ja auch nicht viel einzustellen.
Also ich habe gerade nochmal etwas rumprobiert und versucht dem Benutzernamen, die Dömane im Format "Domäne\P2040EDV" mitzugeben, jedoch wird weder ein slash noch ein backslash als gültiges Zeichen vom Drucker akzeptiert. Des Weiteren habe ich im Feld Allgemeiner Name Den CN des P2040EDV Usersobjekts eingetragen. Sprich im Grunde genommen steht jetzt im Feld Benutzer und Allgemeiner Name das gleiche.
Immerhin kriege ich jetzt eine andere Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: Domäne\P2040EDV
Kontoname: P2040EDV
Kontodomäne: Domäne
Vollqualifizierter Kontoname: Domäne/Benutzer/802.1x Drucker/P2040EDV
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: xx-xx-xx-xx-xx-xx
ID der Anrufstation: xx-xx-xx-xx-xx-xx
NAS:
NAS-IPv4-Adresse: 192.168.250.151
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Ethernet
NAS-Port: 99
RADIUS-Client:
Clientanzeigename: Cisco-Switch-Lager
Client-IP-Adresse: 192.168.250.151
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: NPS-Cisco-Wired
Netzwerkrichtlinienname: NPS-Cisco-Wired Druckernetz
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SRVRADIUS01.domäne
Authentifizierungstyp: PEAP
EAP-Typ: -
Kontositzungs-ID: 3035303030304645
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 23
Ursache: Fehler während der Netzwerkrichtlinienserver-Verwendung des Extensible Authentication-Protokolls (EAP). Überprüfen Sie die EAP-Protokolldateien auf EAP-Fehler.
So richtig habe ich gerade keinen Ansatz
EAP-Typ: -
Das ist schon komisch, hier müsste schon EAP-MSCHAPv2 stehen.Ist die Drucker-Firmware aktuell?
Vermutlich Probleme bei der TLS Protokoll-Aushandlung weil der Drucker nur noch veraltete TLS-Ciphers zur Verfügung hat die Windows nicht mehr akzepziert.
Zeig doch bitte auch mal deine Anforderungsrichtlinien.
Und prüfe die EAP Logs wie in der Meldung beschrieben.
Zur Aktivierung und Deaktivierung der EAP Ablaufverfolgung siehe
https://learn.microsoft.com/de-de/windows/win32/eaphost/enabling-tracing
1