eldoroddo
Goto Top

RAS mit CHAP (nicht MS-CHAP!)

Hallo,

eine externe Firma muß/will sich mit einem Linuxrechner oder einem ELSA-ISDN-Router bei uns per RAS einwählen. Beide können aber leider nur CHAP und keine MS-CHAP bzw. MS-CHAP v2.
Über MS-CHAP funktioniert es einwandfrei, nur über CHAP wählt er an, hebt ab und legt sofort wieder auf. Habe mir schon fast die komplette Hilfe durchgelesen, denke auch alles richtig gemacht zu haben. Hatte probeweise auch schon sowohl auf dem Server (in RAS-Richtlinie und in den Authentifizierungsmethoden des Servers selbst) als auch auf dem Client alles außer CHAP deaktiviert. Gleiches Problem.

Hat jemand eine Idee?

Content-ID: 30611

Url: https://administrator.de/forum/ras-mit-chap-nicht-ms-chap-30611.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

geTuemII
geTuemII 18.04.2006 um 18:43:31 Uhr
Goto Top
MMC Routing und RAS --> rechte Maus --> Eigenschaften --> Register Sicherheit --> Authentifizierungsmethoden --> CHAP

geTuemII
Eldoroddo
Eldoroddo 19.04.2006 um 10:06:14 Uhr
Goto Top
So schlau war ich auch schon. Wie bereits geschrieben, sowohl in den Sicherheitseinstellungen unter dem Rechner, als auch in den RAS-Richtlinien habe ich CHAP aktiviert. Geht trotzdem nicht!
geTuemII
geTuemII 19.04.2006 um 13:29:00 Uhr
Goto Top
So schlau war ich auch schon. Wie bereits
geschrieben, sowohl in den
Sicherheitseinstellungen unter dem Rechner,
als auch in den RAS-Richtlinien habe ich
CHAP aktiviert. Geht trotzdem nicht!

Ok, wenn du mit unter dem Rechner in der RAS-MMC den Eintrag rechnername (lokal) meinst, dann sprechen wir vom selben. Was sagt denn das Protokoll?

geTuemII
Eldoroddo
Eldoroddo 19.04.2006 um 17:14:28 Uhr
Goto Top
Ja, meine ich face-smile

Das Protokoll (unter C:\WINDOWS\system32\LogFiles) sagt folgendes (SERVER = Servername; 192.168.30.11 die IP-Adresse des Servers; YYYY= unser AD-Name; XXXX ist der Username der per Fernwartung auf den Server soll; T123456T=ISDN-Nummer):

192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,44,90,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4149,RAS FIRMA SERVER,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,4130,YYYY/_Fernwartungs-User/XXXX,4294967206,4,4294967207,2,6,2,7,1,4149,RAS FIRMA SERVER,4120,0x004B4C494E494B,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4127,4,4136,2,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:28,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447188,45,3,40,1,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:46:54,RAS,SERVER,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,25,311 1 192.168.30.11 04/18/2006 15:13:07 5,44,90,8,192.168.30.242,12,1500,13,1,50,19,51,1,55,1145447212,45,3,46,23,43,15483,42,7133,48,64,47,69,49,1,40,2,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4120,0x004B4C494E494B,4294967206,4,4154,Windows-Authentifizierung für alle Benutzer verwenden,4136,4,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,44,91,4,192.168.30.11,6,2,7,1,5,5,61,2,30,T123456T,4108,192.168.30.11,4147,311,4148,MSRASV5.20,4160,MSRASV5.00,4159,MSRAS-1-POTTER,4155,1,4154,Windows-Authentifizierung für alle Benutzer verwenden,4129,FIRMA\XXXX,4130,FIRMA\XXXX,4127,2,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4136,1,4142,0
192.168.30.11,XXXX,04/19/2006,13:47:30,RAS,SERVER,25,311 1 192.168.30.11 04/18/2006 15:13:07 6,4127,2,4130,FIRMA\XXXX,4129,FIRMA\XXXX,4154,Windows-Authentifizierung für alle Benutzer verwenden,4155,1,4136,3,4142,19

Auf dem Client passiert folgendes:
Die Nummer wird angewählt, ISDN wird aufgebaut und ungefähr eine Sekunde später wieder abgebaut.
Dann erschein:
"Benutzername und Kennwort werden verifiziert..."

Schließlich kommt die Fehlermeldung:
"Benutzername und Kennwort werden verifiziert...
Fehler 691: Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist."

Oh Wunder, ohne ISDN-Verbindung kann er sich ja auch schlecht anmelden! face-sad
geTuemII
geTuemII 19.04.2006 um 19:58:18 Uhr
Goto Top
Ok, nehmen wir mal den letzten Eintrag, der ja dem Abbruch vorausgeht:

[...]
4136,3 Packet-Type --> Access-Reject
4142,19 Reason-Code --> Für das Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort gespeichert

Wenn ich das so sehe, meine ich mich zu erinnern, daß im Zusammenhang mit CHAP "was mit der Verschlüsselung war". Sorry, wenn ich das micht genauer sagen kann, aber das habe ich damals nicht selbst konfiguriert. Ich habe gerade schon nachgefragt, aber er erinnert sich auch nicht wirklich.

Vielleicht hilft es ja trotzdem...

geTuemII