VPN mit RADIUS unter W2k8
Hi,
also so langsam verzweifel ich. Ich probiere jetzt seit über 2 Wochen das VPN wieder zum laufen zu kriegen.
Ich wollte nach ner Domainumstellung von W2k zu W2k8 das VPN unterm IAS, respektive NPS, wieder genauso einstellen wies vorher war.
Hab ich auch getan aber er will ums verrecken nicht die Authentifizierung machen.
Ich hab mir mit Wireshark mal den Vorgang angeschaut. Leider zeigt der mir auch nicht mehr an als das vom RADIUS-Client das Request-Paket kommt und der RADIUS-Server ein Reject-Paket zurückschickt.
Im Server-Log seh ich dann halt schon das ne Anfrage kam diese wird aber aufgrund von unbekanntem Benutzernamen oder Passwort abgelehnt.
Nach den zahlreichen versuchen meinserseits, selbst mit Copy&Paste, geh ich davon aus das es nicht an ner Falscheingabe liegt. Sondern der RADIUS-Server irgendwie die Anfrage nicht richtig verarbeitet.
Hat einer Idee wo ich noch schauen könnte ?
Gruß
Beowulf
also so langsam verzweifel ich. Ich probiere jetzt seit über 2 Wochen das VPN wieder zum laufen zu kriegen.
Ich wollte nach ner Domainumstellung von W2k zu W2k8 das VPN unterm IAS, respektive NPS, wieder genauso einstellen wies vorher war.
Hab ich auch getan aber er will ums verrecken nicht die Authentifizierung machen.
Ich hab mir mit Wireshark mal den Vorgang angeschaut. Leider zeigt der mir auch nicht mehr an als das vom RADIUS-Client das Request-Paket kommt und der RADIUS-Server ein Reject-Paket zurückschickt.
Im Server-Log seh ich dann halt schon das ne Anfrage kam diese wird aber aufgrund von unbekanntem Benutzernamen oder Passwort abgelehnt.
Nach den zahlreichen versuchen meinserseits, selbst mit Copy&Paste, geh ich davon aus das es nicht an ner Falscheingabe liegt. Sondern der RADIUS-Server irgendwie die Anfrage nicht richtig verarbeitet.
Hat einer Idee wo ich noch schauen könnte ?
Gruß
Beowulf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122836
Url: https://administrator.de/contentid/122836
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Na dann siehts doch so aus als hättest du fast alles richtig gemacht.
Wenn der sagt Username / PW ist falsch dann ist prinzipiell schonmal die Abfrage schick, also Radius funktioniert - nur kann er warum auch immer den User nicht authentisieren.
Was ist mit Domain-Prefix bei der Useranmeldung? Eventuell Domain\Username probieren anstatt nur Username.
Normalerweise macht das aber nix, wenn man eh nur eine domain hat dann nimmt er die Default Domain egal ob der User nen prefix angibt oder nicht.
Ich würde erstmal zur Fehlereingrenzung die Gruppe "Domain Users" nehmen als Bedingung bei der Ras-Policy - nimmst du eine eigene Gruppe muss das unter Umständen eine Universelle Gruppe sein (kommt drauf an...).
Ausserdem solltest du nach jeder Veränderung der Radius Config den Radius Dienst neu starten!
Bei der Ras-Policy unter Advanced das Attribut "Ignore User properties" oder so ähnl9ch auf "True" setzen damit der Radius die Kontrolle übernimmt.
Doch das scheint schon ok zu sein sonst hättest ne andere Fehlermeldung im Eventlog.
Ansonsten - sniff doch mal auf dem Radus mti Network Monitor! Das hilft sehr oft, und grad bei Radius sehr hilfreich weil ja da alles unverschlüsselt ist, ausser das Userpasswort.
Wenn der sagt Username / PW ist falsch dann ist prinzipiell schonmal die Abfrage schick, also Radius funktioniert - nur kann er warum auch immer den User nicht authentisieren.
Was ist mit Domain-Prefix bei der Useranmeldung? Eventuell Domain\Username probieren anstatt nur Username.
Normalerweise macht das aber nix, wenn man eh nur eine domain hat dann nimmt er die Default Domain egal ob der User nen prefix angibt oder nicht.
Ich würde erstmal zur Fehlereingrenzung die Gruppe "Domain Users" nehmen als Bedingung bei der Ras-Policy - nimmst du eine eigene Gruppe muss das unter Umständen eine Universelle Gruppe sein (kommt drauf an...).
Ausserdem solltest du nach jeder Veränderung der Radius Config den Radius Dienst neu starten!
Bei der Ras-Policy unter Advanced das Attribut "Ignore User properties" oder so ähnl9ch auf "True" setzen damit der Radius die Kontrolle übernimmt.
Doch das scheint schon ok zu sein sonst hättest ne andere Fehlermeldung im Eventlog.
Ansonsten - sniff doch mal auf dem Radus mti Network Monitor! Das hilft sehr oft, und grad bei Radius sehr hilfreich weil ja da alles unverschlüsselt ist, ausser das Userpasswort.