13
Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Switch wird nicht zugelassen
Hallo Zusammen
Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.
Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:
Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.
Meine derzeitigen Switch-Konfigurationen:
Authentifikations-Einstellungen
Falls ihr noch mehr Informationen benötigt, einfach nachfragen.
Ich glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?
Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.
Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.
Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:
EventData
SubjectUserSid S-1-0-0
SubjectUserName 843497ca71a9
SubjectDomainName UEB
FullyQualifiedSubjectUserName UEB\84-34-97-ca-71-a9
SubjectMachineSID S-1-0-0
SubjectMachineName -
FullyQualifiedSubjectMachineName -
MachineInventory -
CalledStationID 84-34-97-43-5f-97
CallingStationID 84-34-97-ca-71-a9
NASIPv4Address 192.168.210.51
NASIPv6Address -
NASIdentifier UEBSW01
NASPortType Ethernet
NASPort 9
ClientName UEBSW01
ClientIPAddress 192.168.210.51
ProxyPolicyName UEBSW01
NetworkPolicyName -
AuthenticationProvider Windows
AuthenticationServer UEBSRV.ueb.lokal
AuthenticationType MD5-CHAP
EAPType -
AccountSessionIdentifier -
ReasonCode 16
Reason Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.
Meine derzeitigen Switch-Konfigurationen:
SEITE 1
hostname "UEBSW01 "
mirror-port 9
ip default-gateway 192.168.210.1
vlan 1
name "normale"
untagged 1-10
ip address dhcp-bootp
exit
vlan 2
name "unauth"
no ip address
exit
vlan 3
name "auth"
ip address dhcp-bootp
exit
interface 2
monitor
SEITE 2
exit
aaa authentication login privilege-mode
aaa authentication port-access eap-radius
aaa accounting network start-stop radius
radius-server host 192.168.210.1 key "123"
snmp-server community "public" Unrestricted
snmp-server contact "Gabriel Buehler" location "317a"
aaa port-access mac-based 9 addr-limit 3
aaa port-access mac-based 9 auth-vid 3
aaa port-access mac-based 9 unauth-vid 2
aaa port-access mac-based 10 auth-vid 3
aaa port-access mac-based 10 unauth-vid 2
password managerAuthentifikations-Einstellungen
Login Attempts : 3
Respect Privilege : Enabled
| Login Login Enable Enable
Access Task | Primary Secondary Primary Secondary
----------- + ---------- ---------- ---------- ----------
Console | Local None Local None
Telnet | Local None Local None
Port-Access | EapRadius None
Webui | Local None Local None
SSH | Local None Local None
Web-Auth | ChapRadius None
MAC-Auth | ChapRadius NoneIch glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?
Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212519
Url: https://administrator.de/forum/windows-server-2008-mit-procurve-switch-radius-mac-authentifikation-switch-wird-nicht-zugelassen-212519.html
Ausgedruckt am: 04.04.2025 um 01:04 Uhr
13 Kommentare
Neuester Kommentar
Guckst du hier:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...
Hmm... versteh ich das richtig? Muss ich bei der Call-In die ersten 3 Ziffern der MAC-Adresse eingeben, die sich mit der Maschine verbinden möchten?
Das wäre bei mir:
00-0c-29-*
84-34-97-*
Falls es so ist funktionierte es leider nicht. Ich erhalte wieder die gleichen 3 Meldungen. Es sind die zwei oberen MAC-Adressen, die geblockt werden sowie eine 3., bei der ich nicht weiss woher sie stammt:
00127ff254f0
Keiner der Maschinen, des Servers oder der Switches besitzen diese MAC-Adresse.
Das wäre bei mir:
00-0c-29-*
84-34-97-*
Falls es so ist funktionierte es leider nicht. Ich erhalte wieder die gleichen 3 Meldungen. Es sind die zwei oberen MAC-Adressen, die geblockt werden sowie eine 3., bei der ich nicht weiss woher sie stammt:
00127ff254f0
Keiner der Maschinen, des Servers oder der Switches besitzen diese MAC-Adresse.
Du müsstest die kompette Mac dort logischerweise angeben !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!
Häääh? Das kann gar nicht sein, wir haben gar keine Cisco-Switches im Einsatz, nur HP-Switches...seltsam.
Stimmt das mit der ganzen MAC-Adresse klingt logisch. Funktioniert aber leider auch nicht. Ich habe für die Cisco-Adresse auch ein AD-Benutzer und eine Call-In angelegt, die Verbindung klappte leider trotzdem nicht.
Stimmt das mit der ganzen MAC-Adresse klingt logisch. Funktioniert aber leider auch nicht. Ich habe für die Cisco-Adresse auch ein AD-Benutzer und eine Call-In angelegt, die Verbindung klappte leider trotzdem nicht.
Die Adresse ist aber definitiv eine Cisco Mac. Cisco macht ja nicht nur Switches sondern auch Router, WLAN, Load Balancer, Telefone, interne v Switches in VmWare und und und....
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !
Sollte möglich sein, es gibt im Handbuch des Switches Erklärungen dazu wie auch ein allgemeines Handbuch (MAC Authentication on HP Procurve Switches) . Also vermute ich schon.
Ich habe meinen Chef gefragt, ob wir Cisco's einsetzen...wir setzten Cisco's ein, aber die befinden sich nicht in meinem VLAN...es ist wirklich seltsam. Aber darauf kommt es ja auch nicht mehr an, ich habe die MAC-Adresse jetzt auch akzeptiert.
Ich habe meinen Chef gefragt, ob wir Cisco's einsetzen...wir setzten Cisco's ein, aber die befinden sich nicht in meinem VLAN...es ist wirklich seltsam. Aber darauf kommt es ja auch nicht mehr an, ich habe die MAC-Adresse jetzt auch akzeptiert.
Na dann hat da wohl jemand die VLAN Konfig vermurkst...anders ist das ja nicht zu erklären wenn diese Adresse da auftaucht !
Funktioniert deine Mac Authentisierung denn nun wenigstens ?
Funktioniert deine Mac Authentisierung denn nun wenigstens ?
Nein, leider nicht. Immer noch die genau gleiche Meldung, immer noch keine Netzverbindung mehr, wenn ich die Authentifizierung starte.
..."Unterbruch" ???
Unterbruch war schlecht gewählt. Die Netzverbindung ist dann einfach nicht mehr vorhanden. Mit dem Befehl "aaa port-access mac-based 10" starte ich die Authentifizierung und ich habe kein Netz mehr auf der VM.
oookey. Wie es scheint, bin ich jetzt schon mal weiter gekommen. Jetzt erhalte ich die Meldung, dass ich die Veribndungsrichtlinie falsch konfiuguriert habe:
Siehe ganz unten die Meldung. Ich habe mal noch versucht, den Switch als Empfänger-ID zu nehmen, was leider auch nichts gebracht hat.
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 06.08.2013 10:41:30
Ereignis-ID: 6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: UEBSRV.ueb.lokal
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: 000c29b205d1
Kontodomäne: -
Vollqualifizierter Kontoname: -
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 84-34-97-43-5f-97
Anrufer-ID: 00-0c-29-b2-05-d1
NAS:
NAS-IPv4-Adresse: 192.168.210.51
NAS-IPv6-Adresse: -
NAS-ID: UEBSW01
NAS-Porttyp: Ethernet
NAS-Port: 9
RADIUS-Client:
Clientanzeigenname: UEBSW01
Client-IP-Adresse: 192.168.210.51
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: -
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: -
Authentifizierungsserver: UEBSRV.ueb.lokal
Authentifizierungstyp: -
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>6273</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>12552</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2013-08-06T08:41:30.109375000Z" />
<EventRecordID>1186497</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="660" />
<Channel>Security</Channel>
<Computer>UEBSRV.ueb.lokal</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">000c29b205d1</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="FullyQualifiedSubjectUserName">-</Data>
<Data Name="SubjectMachineSID">S-1-0-0</Data>
<Data Name="SubjectMachineName">-</Data>
<Data Name="FullyQualifiedSubjectMachineName">-</Data>
<Data Name="MachineInventory">-</Data>
<Data Name="CalledStationID">84-34-97-43-5f-97</Data>
<Data Name="CallingStationID">00-0c-29-b2-05-d1</Data>
<Data Name="NASIPv4Address">192.168.210.51</Data>
<Data Name="NASIPv6Address">-</Data>
<Data Name="NASIdentifier">UEBSW01 </Data>
<Data Name="NASPortType">Ethernet</Data>
<Data Name="NASPort">9</Data>
<Data Name="ClientName">UEBSW01</Data>
<Data Name="ClientIPAddress">192.168.210.51</Data>
<Data Name="ProxyPolicyName">-</Data>
<Data Name="NetworkPolicyName">-</Data>
<Data Name="AuthenticationProvider">-</Data>
<Data Name="AuthenticationServer">UEBSRV.ueb.lokal</Data>
<Data Name="AuthenticationType">-</Data>
<Data Name="EAPType">-</Data>
<Data Name="AccountSessionIdentifier">-</Data>
<Data Name="ReasonCode">49</Data>
<Data Name="Reason">Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.</Data>
<Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data>
</EventData>
</Event>Siehe ganz unten die Meldung. Ich habe mal noch versucht, den Switch als Empfänger-ID zu nehmen, was leider auch nichts gebracht hat.
Stellt sich jetzt die Frage was MS mit dem kryptischen Verbindungsanforderungsrichtlinie meint ??
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx
Die Verbindungsrichtline ist ja die Konfigurationseinstellung für die Authorisation, also vermute ich, dass es sich dabei um das handelt. Ich habe noch ein wenig herumexperimentiert mit den Call-ID's (Pro MAC eine eigene richtlinie, Empfangs-ID für den Switch), brachte natürlich alles nichts.
ICh werde jetzt nun mal noch die Links durchlesen.
Edit: Gut, da steht auch nicht mehr viel mehr drin als "Wenn sie einen RADIUS-Server aufsetzen möchten brauchen sie die richtige Verbindungsrichtlinie". Hab' ich alles schon durchprobiert...
da werde ich wohl weiter gucken müssen.
ICh werde jetzt nun mal noch die Links durchlesen.
Edit: Gut, da steht auch nicht mehr viel mehr drin als "Wenn sie einen RADIUS-Server aufsetzen möchten brauchen sie die richtige Verbindungsrichtlinie". Hab' ich alles schon durchprobiert...
da werde ich wohl weiter gucken müssen.
