Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Switch wird nicht zugelassen
Hallo Zusammen
Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.
Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:
Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.
Meine derzeitigen Switch-Konfigurationen:
Authentifikations-Einstellungen
Falls ihr noch mehr Informationen benötigt, einfach nachfragen.
Ich glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?
Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.
Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.
Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:
EventData
SubjectUserSid S-1-0-0
SubjectUserName 843497ca71a9
SubjectDomainName UEB
FullyQualifiedSubjectUserName UEB\84-34-97-ca-71-a9
SubjectMachineSID S-1-0-0
SubjectMachineName -
FullyQualifiedSubjectMachineName -
MachineInventory -
CalledStationID 84-34-97-43-5f-97
CallingStationID 84-34-97-ca-71-a9
NASIPv4Address 192.168.210.51
NASIPv6Address -
NASIdentifier UEBSW01
NASPortType Ethernet
NASPort 9
ClientName UEBSW01
ClientIPAddress 192.168.210.51
ProxyPolicyName UEBSW01
NetworkPolicyName -
AuthenticationProvider Windows
AuthenticationServer UEBSRV.ueb.lokal
AuthenticationType MD5-CHAP
EAPType -
AccountSessionIdentifier -
ReasonCode 16
Reason Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.
Meine derzeitigen Switch-Konfigurationen:
SEITE 1
hostname "UEBSW01 "
mirror-port 9
ip default-gateway 192.168.210.1
vlan 1
name "normale"
untagged 1-10
ip address dhcp-bootp
exit
vlan 2
name "unauth"
no ip address
exit
vlan 3
name "auth"
ip address dhcp-bootp
exit
interface 2
monitor
SEITE 2
exit
aaa authentication login privilege-mode
aaa authentication port-access eap-radius
aaa accounting network start-stop radius
radius-server host 192.168.210.1 key "123"
snmp-server community "public" Unrestricted
snmp-server contact "Gabriel Buehler" location "317a"
aaa port-access mac-based 9 addr-limit 3
aaa port-access mac-based 9 auth-vid 3
aaa port-access mac-based 9 unauth-vid 2
aaa port-access mac-based 10 auth-vid 3
aaa port-access mac-based 10 unauth-vid 2
password manager
Authentifikations-Einstellungen
Login Attempts : 3
Respect Privilege : Enabled
| Login Login Enable Enable
Access Task | Primary Secondary Primary Secondary
----------- + ---------- ---------- ---------- ----------
Console | Local None Local None
Telnet | Local None Local None
Port-Access | EapRadius None
Webui | Local None Local None
SSH | Local None Local None
Web-Auth | ChapRadius None
MAC-Auth | ChapRadius None
Ich glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?
Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212519
Url: https://administrator.de/forum/windows-server-2008-mit-procurve-switch-radius-mac-authentifikation-switch-wird-nicht-zugelassen-212519.html
Ausgedruckt am: 04.04.2025 um 01:04 Uhr
13 Kommentare
Neuester Kommentar
Guckst du hier:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...
Du müsstest die kompette Mac dort logischerweise angeben !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!
Die Adresse ist aber definitiv eine Cisco Mac. Cisco macht ja nicht nur Switches sondern auch Router, WLAN, Load Balancer, Telefone, interne v Switches in VmWare und und und....
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !
Stellt sich jetzt die Frage was MS mit dem kryptischen Verbindungsanforderungsrichtlinie meint ??
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx