Probleme mit EAP-TLS Authentifizierung im WLAN mit w2k
eingesetzte Hardware: Proxim AP-2000 Access Point und Proxim PC Card Silver
Hallo,
ich möchte im Firmennetzwerk 802.1x Authentifizierung einsetzen um unser WLAN abzusichern. In einer Teststellung benutze ich dafür die folgenden Komponenten:
1. Domaincontroller auf einem Windows 2003 Server
2. ein IAS Server, der ebenfalls auf dem 2003'er Server installiert ist
3. Einen Proxim AP-2000 Accesspoint, der als NAS dient
4. Notebook mit w2k SP4
5. Notebook mit XP Pro SP2
6. Eingesetzte WLAN Karte: Proxim 8471-WD PC Card
Als EAP Typ möchte ich EAP-TLS einsetzen.
Eine Zertifizierungsstelle ist ebenfalls auf dem 2003'er DC eingerichtet.
Auf einem Notebook mit Windows XP (SP2) sind auch alle notwendigen Zertifikate installiert, sodass ein User sich ohne Probleme am Netzwerk authentifizieren kann. Der IAS gibt grünes Licht und der Verbindungsaufbau klappt ohne Probleme.
Wenn ich das gleiche jedoch mit einem Windows 2000 Rechner versuche, funktioniert dies nicht:
Der IAS Server gibt im LogFile an, das der User xyz sich erfolgreich authentifiziert hat. Die Utilitys der Netzwerkkarte zeigen jedoch statt "Authenticated" lediglich ein "Authentication in progress..." an. Nach einer Weile beginnt dann die WLAN Karte wieder damit, WLAN Kanäle durchzuscannen.
Mir scheint, als ob der Client nicht mitbekommt, das er bereits erfolgreich authentifiziert wurde und deshalb nach einer Weile auf Grund eines TimeOuts wieder von vorne anfängt.
Wie bereits erwähnt: Laut IAS wurde die Authentifizierung erfolgreich durchgeführt.
Das Merkwürdige ist, das ich es 2 oder 3 Mal irgendwie geschafft habe, das ein Ping durchgegangen ist. Nach ca. 1 Minute ist aber der Link wieder zusammengebrochen.
Bei Änderung der Authentifizierungsmethode auf PEAP-MS-CHAP-v2 ergibt sich das gleiche Phänomen. Auch hier gibt es bei dem XP Notebook keine Probleme ( gleiche WLAN Karte ), währen sich das w2k Notebook weiterhin stur stellt.
Muss bei w2k vielleicht irgendetwas nachgepatcht werden? Hat jemand mit Proxim WLAN Karten die selben Erfahrungen gemacht?
Ich wäre für eine Antwort echt dankbar, da ich mir an dem Problem seit ca. 2 Wochen die Zähne ausbeiße.
Vielen Dank,
Grüße
Dirk
Hallo,
ich möchte im Firmennetzwerk 802.1x Authentifizierung einsetzen um unser WLAN abzusichern. In einer Teststellung benutze ich dafür die folgenden Komponenten:
1. Domaincontroller auf einem Windows 2003 Server
2. ein IAS Server, der ebenfalls auf dem 2003'er Server installiert ist
3. Einen Proxim AP-2000 Accesspoint, der als NAS dient
4. Notebook mit w2k SP4
5. Notebook mit XP Pro SP2
6. Eingesetzte WLAN Karte: Proxim 8471-WD PC Card
Als EAP Typ möchte ich EAP-TLS einsetzen.
Eine Zertifizierungsstelle ist ebenfalls auf dem 2003'er DC eingerichtet.
Auf einem Notebook mit Windows XP (SP2) sind auch alle notwendigen Zertifikate installiert, sodass ein User sich ohne Probleme am Netzwerk authentifizieren kann. Der IAS gibt grünes Licht und der Verbindungsaufbau klappt ohne Probleme.
Wenn ich das gleiche jedoch mit einem Windows 2000 Rechner versuche, funktioniert dies nicht:
Der IAS Server gibt im LogFile an, das der User xyz sich erfolgreich authentifiziert hat. Die Utilitys der Netzwerkkarte zeigen jedoch statt "Authenticated" lediglich ein "Authentication in progress..." an. Nach einer Weile beginnt dann die WLAN Karte wieder damit, WLAN Kanäle durchzuscannen.
Mir scheint, als ob der Client nicht mitbekommt, das er bereits erfolgreich authentifiziert wurde und deshalb nach einer Weile auf Grund eines TimeOuts wieder von vorne anfängt.
Wie bereits erwähnt: Laut IAS wurde die Authentifizierung erfolgreich durchgeführt.
Das Merkwürdige ist, das ich es 2 oder 3 Mal irgendwie geschafft habe, das ein Ping durchgegangen ist. Nach ca. 1 Minute ist aber der Link wieder zusammengebrochen.
Bei Änderung der Authentifizierungsmethode auf PEAP-MS-CHAP-v2 ergibt sich das gleiche Phänomen. Auch hier gibt es bei dem XP Notebook keine Probleme ( gleiche WLAN Karte ), währen sich das w2k Notebook weiterhin stur stellt.
Muss bei w2k vielleicht irgendetwas nachgepatcht werden? Hat jemand mit Proxim WLAN Karten die selben Erfahrungen gemacht?
Ich wäre für eine Antwort echt dankbar, da ich mir an dem Problem seit ca. 2 Wochen die Zähne ausbeiße.
Vielen Dank,
Grüße
Dirk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41148
Url: https://administrator.de/forum/probleme-mit-eap-tls-authentifizierung-im-wlan-mit-w2k-41148.html
Ausgedruckt am: 02.05.2025 um 09:05 Uhr
23 Kommentare
Neuester Kommentar

Hallo
mich wird das Thema 802.1X im WLAN Bereich auch die nächste Zeit beschäftigen.
Kann dir bei dem w2k Problem leider nicht helfen. Aber es ist interessant zu erfahren, mit welchen Problemen man zu rechnen hat.
Wir haben neben´Windows auch zahlreiche Linux Clients im Netz.
So ziemlich jede Distribution die jemals erfunden wurde fleucht da rum.
Ich glaube das wird recht komplex.
Momentan nutzen wir VPN mit IPSEC für die WLAN User.
Damit ist die vorhandene VPN Infrastruktur einsetzbar, es ist unkompliziert, und funktioniert mit allen Clients prächtig.
Ich werde 802.1X auch erstmal ausgiebig testen. Habe aber das GEfühl dass der Aufwand im Vergleich zum Nutzen zu hoch sein wird.
Ganz nebenbei..
Habe ich das richtig verstanden, dass man bei EAP-TLS sowohl Server als auch Client Zertifikate braucht, bei EAP-PeAP sich jedoch nur der Server beim Client authentifziert?
Bin grade am Einlesen und versuche die komplexe Materie klarzubekommen in der Birne.
mich wird das Thema 802.1X im WLAN Bereich auch die nächste Zeit beschäftigen.
Kann dir bei dem w2k Problem leider nicht helfen. Aber es ist interessant zu erfahren, mit welchen Problemen man zu rechnen hat.
Wir haben neben´Windows auch zahlreiche Linux Clients im Netz.
So ziemlich jede Distribution die jemals erfunden wurde fleucht da rum.
Ich glaube das wird recht komplex.
Momentan nutzen wir VPN mit IPSEC für die WLAN User.
Damit ist die vorhandene VPN Infrastruktur einsetzbar, es ist unkompliziert, und funktioniert mit allen Clients prächtig.
Ich werde 802.1X auch erstmal ausgiebig testen. Habe aber das GEfühl dass der Aufwand im Vergleich zum Nutzen zu hoch sein wird.
Ganz nebenbei..
Habe ich das richtig verstanden, dass man bei EAP-TLS sowohl Server als auch Client Zertifikate braucht, bei EAP-PeAP sich jedoch nur der Server beim Client authentifziert?
Bin grade am Einlesen und versuche die komplexe Materie klarzubekommen in der Birne.

Ich hab sowohl Freeradius als auch IAS im Einsatz.
Im Verbund mit Active Directory ist IAS die erste wahl finde ich.
Sonst muss man den Linux Server dazu bringen, per kerberos das AD zu kontaktieren, was wenig Sinn macht, wo der IAS doch binnen 5 min auf nem DC installiert u. konfiguriert ist.
Im Verbund mit Active Directory ist IAS die erste wahl finde ich.
Sonst muss man den Linux Server dazu bringen, per kerberos das AD zu kontaktieren, was wenig Sinn macht, wo der IAS doch binnen 5 min auf nem DC installiert u. konfiguriert ist.

hallo
hat sich was ergeben wegen des problems? weil ich stehe auch grad vor einem w2000 laptop der nicht so richtig über wlan ins netzwerk kommt. bzw ich bekomm die zertifikate nicht auf den client.
hat sich was ergeben wegen des problems? weil ich stehe auch grad vor einem w2000 laptop der nicht so richtig über wlan ins netzwerk kommt. bzw ich bekomm die zertifikate nicht auf den client.

wenn ich über die webseite mache kommt problem mit active x, evtl nicht richtigen berechtigung. sodass ich das zertifikat nicht anfordern kann. woran kann das liegen? auf dem selber ging das wunderbar. vllt an windows 2000?
bin als administrator der domain aufm dem client eingeloggt.
bin als administrator der domain aufm dem client eingeloggt.

ich probiere es direkt aus. danke schonmal. melde mich gleich wieder

also ich finde diese option nicht es zu beantragen über mmc. gibts noch ne andere möglichkeit?

ok jetzt hab ich den punkt gefunden, nur sagt er mir, dass keine zertifizierungsstelle gefunden wurde.
ich verzweifel langsam an der sache, sitz schon 1 woche dran
ich verzweifel langsam an der sache, sitz schon 1 woche dran

ok das hat geklappt. danke schön
nächtes problem:
eap-tls verfahren
authentication failed
was muss ich im ias dafür einstellen?
sorry für die fragen. aber ich ich muss das genau wissen für spätere projekte die sich daruf beziehen.
nächtes problem:
eap-tls verfahren
authentication failed
was muss ich im ias dafür einstellen?
sorry für die fragen. aber ich ich muss das genau wissen für spätere projekte die sich daruf beziehen.

ok kein problem, hab bis mitte/ende september zeit, aber desto früher desto besser um das ganze noch zu verfeinern.
danke dir auf jedenfall.
in einer stunde ist bei mir auch feierabend =)
gruß Franky
danke dir auf jedenfall.
in einer stunde ist bei mir auch feierabend =)
gruß Franky

danke dir, werd mich jetzt mal mit der seite beschäftigen. mmh xp ist schlecht. ist ja im moment auch nur test umgebung. der win2003 serv läuft auf ner virtual machine. und als client dient ein etwas älterer laptop mit win2k pro.
so meld mich später wenn ich noch probleme habe =D
aber auf jeden schonmal fettes merci
so meld mich später wenn ich noch probleme habe =D
aber auf jeden schonmal fettes merci

juuuuuuuuuuuuuhuuuuuuu
es geht!!!
man man.
ich bin glücklich, mein vorgesetzter ist glücklich, und später unser kunde wird glücklich. und dadurch auch die firma
nächste aufgabe wird das ganze auf xp-, windows mobile-, und linux-clients zum laufen zu bekommen. aber das wird auch noch werden. ganzen september für zeit.
ich danke dir für die hilfe.
gruß franky
es geht!!!
man man.
ich bin glücklich, mein vorgesetzter ist glücklich, und später unser kunde wird glücklich. und dadurch auch die firma
nächste aufgabe wird das ganze auf xp-, windows mobile-, und linux-clients zum laufen zu bekommen. aber das wird auch noch werden. ganzen september für zeit.
ich danke dir für die hilfe.
gruß franky

im laptop steckt ne cisco karte mit neusten treibern und das util ist doch sehr gut

nu hab ich noch ein problem. weiß aber nicht ob es dafür eine lösung gibt.
wenn ich einen neuen benutzer auf dem client anmelde, der dort bisher noch nicht angemeldet war, muss ich erst lan kabel anschließen, da er wenn nur wlan-verbindung steht meckert, dass benutzername oder passwort nicht stimmen.
er kann wahrscheinlich nicht auf die domäne zugreifen weil dem neuen benutzer noch die zertifikate fehlen um sich am ap anzumelden.
wenn ich es über mschap versuche, gehts auch nicht. (also beim neuen benutzer - so geht mschap einwandfrei)
gibts ne möglichkeit wenn sich neue benutzer am client anmelden, dies ohne kabel zu erledigen?
wenn ich einen neuen benutzer auf dem client anmelde, der dort bisher noch nicht angemeldet war, muss ich erst lan kabel anschließen, da er wenn nur wlan-verbindung steht meckert, dass benutzername oder passwort nicht stimmen.
er kann wahrscheinlich nicht auf die domäne zugreifen weil dem neuen benutzer noch die zertifikate fehlen um sich am ap anzumelden.
wenn ich es über mschap versuche, gehts auch nicht. (also beim neuen benutzer - so geht mschap einwandfrei)
gibts ne möglichkeit wenn sich neue benutzer am client anmelden, dies ohne kabel zu erledigen?

ich hatte das problem auch vorhins mit meinem vorgesetzten durch gesprochen. er wäre dafür, in diesem fall einen 2ten zusätzlichen AP aufzustellen, dieses nur mit WEP verschlüsseln oder gänzlich ohne, damit sich die clients in der domäne anmelden können und zertifikate beziehen können.
beim kabel ist das problem, das die windows mobile geräte keine möglichkeit besitzen ein kabel einzusetzen. also muss es in irgendeiner art und weise über das wlan laufen.
diesen 2ten zusätzlichen AP braucht man ja nur in betrieb zu nehmen wenn es notwendig ist. sprich bei neuen clients oder falls ein anderer benutzer auf einen client muss.
ist ja kein dauert zustand.
beim kabel ist das problem, das die windows mobile geräte keine möglichkeit besitzen ein kabel einzusetzen. also muss es in irgendeiner art und weise über das wlan laufen.
diesen 2ten zusätzlichen AP braucht man ja nur in betrieb zu nehmen wenn es notwendig ist. sprich bei neuen clients oder falls ein anderer benutzer auf einen client muss.
ist ja kein dauert zustand.