Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Login über Active Directory - Windows Protokolle

Mitglied: gabeBU

gabeBU (Level 1) - Jetzt verbinden

22.10.2013 um 13:56 Uhr, 3560 Aufrufe, 5 Kommentare, 1 Danke

Hallo Zusammen

Und damit geht die RADIUS Authentifikation in die 4. Runde. Hier könnt ihr euch alle Informationen zum Thema sammeln:

https://www.administrator.de/contentid/215872

Diesesmal bekam ich eine Hilfe des second Level unseres Geschäftes und sie haben gesagt ich soll mich mehr auf den Active Directory Login sowie auf die Windows-Protokolle in der Ereignisanzeige konzentrieren.

Als erstes haben wir den Login eines der im Active Directory angelegten Benutzer probiert, die als Benutzer-ID die MAC-Adresse benutzen. Der Login ging extrem lange (ca. 15 Minuten). Leider haben wir in kürze keine Lösung gefunden, das wäre das erste, das ich mir ansehen sollte.

Das zweite wäre der Windows-Log. Ich soll provozieren, dass während des NPS-Ereignisses (wenn das ein Wort ist^^) auch ein Ereignis bei "Windows-Protokolle" erscheint. Da habe ich noch keinen blassen schimmer, wie ich das tun kann.

Natürlich bin ich auch hier über jeden Tipp sehr dankbar, damit ich diese verdammte Kiste endlich zum laufen bringe :3.

Gruss

gabeBU
Mitglied: aqui
22.10.2013, aktualisiert um 16:10 Uhr
Man muss sich ja langsam wirklich fragen WAS du da machst...?! Es gibt zuhauf Anleitungen im Netz die die Einrichtung des Radius Servers (NPS) unter Winblows beschreiben:
http://windows.microsoft.com/de-de/windows-vista/enable-802-1x-authenti ...
http://technet.microsoft.com/de-de/library/cc732256.aspx
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
(letzteres besonders ausführlich !)
Das sollte in 15 Minuten erledigt sein.
Oder du nimmst testweise mal einen FreeRadius wie es hier beschrieben ist für ein detailierteres Debugging ?! (Den kann man übrigens mit 3 Konfig Zeilen auch ans AD anbinden !)

Der LAN Switch erfordert popelige 3 Konfig Zeilen oder 3 bis 5 Mausklicks im GUI um das einzurichten. Dieses Forumstutorial beschreibt im letzten Drittel wie der Switch entsprechend einzurichten ist:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Alles in allem hat man das in nicht mal 30 Minuten zum Fliegen wenn man weiss was man da tut. Sogar billige Popelswitches von NetGear, TP-Link und auch D-Link supporten sowas auf Anhieb.
Bei Cisco preiswerter SG-x00 Serie sind das 3 Mausklicks im GUI bei allen anderen relevanten Herstellern wie Cisco Catalyst, Brocade, Extreme, Juniper entsprechend und es funktioniert völlig fehlerlos !

Langsam kann man nicht mehr wirklich nachvollziehen was du da machst, sorry ?!
Da hilft es auch nicht wenn du einen 2ten Thread zu dem gleichen Thema eröffnest, zumal du den obigen primären Thread ja mit https://www.administrator.de/faq/32 noch nichtmal geschlossen hast.
Vielleicht solltest du mal ernsthaft dadrüber nachdenken den HP Schrott zu entsorgen und was zu beschaffen was das auch supportet. Scheinbar haben die ja, deinen Forschungsergebnissen nach zu urteilen, gravierende Probleme den weltweiten 802.1x Standard auf ihren Produkten umzusetzen ! Eine (getestete) Auswahl ist ja oben genannt.
Das würde uns hier schon das Forumsleben etwas erleichtern....

Oder...ging es dir jetzt doch nur um die Darstellung in den zigtausenden von Logs die der Winblows Server hat ?
Und....was soll "(wenn das ein Wort ist^^)" uns denn sagen ??
Bitte warten ..
Mitglied: gabeBU
23.10.2013, aktualisiert um 16:19 Uhr
Aaalso

Danke für die Links, ich habe das mit den Zertifikaten jetzt zusätzlich auch noch miteingebunden.

Während der Authentifikation spuckt der Server unter der NPS-Ereignisanzeige ein Ereignis über die Authentifikation aus. Gleichzeitig sollte auch eine Meldung unter den "Windows-Protokollen" erscheinen. Leider ist dies nicht der fall. Ich sollte jetzt daran arbeiten, dass zur gleichen Zeit eine Meldung in der Ereignisanzeige erscheint.

Und ich würde sehr gerne wissen, was ich falsch mache...^^

Edit: Gut, ich kam schonmal etwas weiter:

Nun erhalte ich während der Authentifikation dieses Ereignis:
01.
Protokollname: Security
02.
Quelle:        Microsoft-Windows-Security-Auditing
03.
Datum:         23.10.2013 16:04:19
04.
Ereignis-ID:   4625
05.
Aufgabenkategorie:Anmelden
06.
Ebene:         Informationen
07.
Schlüsselwörter:Überwachung gescheitert
08.
Benutzer:      Nicht zutreffend
09.
Computer:      UEBSRV.ueb.lokal
10.
Beschreibung:
11.
Fehler beim Anmelden eines Kontos.
12.
 
13.
Antragsteller:
14.
	Sicherheits-ID:		SYSTEM
15.
	Kontoname:		UEBSRV$
16.
	Kontodomäne:		UEB
17.
	Anmelde-ID:		0x3e7
18.
 
19.
Anmeldetyp:			3
20.
 
21.
Konto, für das die Anmeldung fehlgeschlagen ist:
22.
	Sicherheits-ID:		NULL SID
23.
	Kontoname:		00-9c-02-1b-14-58
24.
	Kontodomäne:		UEB
25.
 
26.
Fehlerinformationen:
27.
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
28.
	Status:			0xc000006d
29.
	Unterstatus::		0xc000006a
30.
 
31.
Prozessinformationen:
32.
	Aufrufprozess-ID:	0x380
33.
	Aufrufprozessname:	C:\Windows\System32\svchost.exe
34.
 
35.
Netzwerkinformationen:
36.
	Arbeitsstationsname:	
37.
	Quellnetzwerkadresse:	-
38.
	Quellport:		-
39.
 
40.
Detaillierte Authentifizierungsinformationen:
41.
	Anmeldeprozess:		IAS
42.
	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
43.
	Übertragene Dienste:	-
44.
	Paketname (nur NTLM):	-
45.
	Schlüssellänge:		0
46.
 
47.
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
48.
 
49.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
50.
 
51.
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
52.
 
53.
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
54.
 
55.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
56.
 
57.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
58.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
59.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
60.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
61.
Ereignis-XML:
62.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
63.
  <System>
64.
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
65.
    <EventID>4625</EventID>
66.
    <Version>0</Version>
67.
    <Level>0</Level>
68.
    <Task>12544</Task>
69.
    <Opcode>0</Opcode>
70.
    <Keywords>0x8010000000000000</Keywords>
71.
    <TimeCreated SystemTime="2013-10-23T14:04:19.828125000Z" />
72.
    <EventRecordID>2026901</EventRecordID>
73.
    <Correlation />
74.
    <Execution ProcessID="500" ThreadID="4360" />
75.
    <Channel>Security</Channel>
76.
    <Computer>UEBSRV.ueb.lokal</Computer>
77.
    <Security />
78.
  </System>
79.
  <EventData>
80.
    <Data Name="SubjectUserSid">S-1-5-18</Data>
81.
    <Data Name="SubjectUserName">UEBSRV$</Data>
82.
    <Data Name="SubjectDomainName">UEB</Data>
83.
    <Data Name="SubjectLogonId">0x3e7</Data>
84.
    <Data Name="TargetUserSid">S-1-0-0</Data>
85.
    <Data Name="TargetUserName">00-9c-02-1b-14-58</Data>
86.
    <Data Name="TargetDomainName">UEB</Data>
87.
    <Data Name="Status">0xc000006d</Data>
88.
    <Data Name="FailureReason">%%2313</Data>
89.
    <Data Name="SubStatus">0xc000006a</Data>
90.
    <Data Name="LogonType">3</Data>
91.
    <Data Name="LogonProcessName">IAS</Data>
92.
    <Data Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
93.
    <Data Name="WorkstationName">
94.
    </Data>
95.
    <Data Name="TransmittedServices">-</Data>
96.
    <Data Name="LmPackageName">-</Data>
97.
    <Data Name="KeyLength">0</Data>
98.
    <Data Name="ProcessId">0x380</Data>
99.
    <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>
100.
    <Data Name="IpAddress">-</Data>
101.
    <Data Name="IpPort">-</Data>
102.
  </EventData>
103.
</Event>
104.
 
Ich setze mich jetzt ran und schau', was ich hier an Informationen gewinnen kann.
Bitte warten ..
Mitglied: gabeBU
12.11.2013 um 13:50 Uhr
Geschafft! Jetzt funktioniert wirklich alles. Ich werde euch meine Schritt für schritt Anleitungen auf Dropbox freigeben:

https://www.dropbox.com/s/4zdorgs7kn7bcfc/RADIUS%20MAC-Auth%20step%20by% ...

Ist ziemlich primitiv, ich habe es einfach direkt aus der Dokumentation kopiert und noch kurz die Überschriften angepasst^^.
Bitte warten ..
Mitglied: aqui
13.11.2013, aktualisiert um 19:14 Uhr
Schade eigentlich das du nur Dropbox kannst
Schön und erheblich sinnvoller, da nachhaltiger für andere, wäre eine Anleitung hier wie diese_hier wenn du sie hier im Forum erstellst.
Die könnte man mit der FreeRadius Anleitung von oben verlinken und hätte ein kompaktes Paket für alle die sich für eine Netzwerk Zugangssicherung interessieren.
Solltest du mal drüber nachdenken…..
Bitte warten ..
Mitglied: gabeBU
13.11.2013, aktualisiert um 14:30 Uhr
Ja ist gut, falls ich mal Zeit habe, werde ich das umsetzen (muss ja alle Screenshots etc. einzeln hochladen)....
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

Netzwerkmanagement

Umstellung von MAC-Filterung auf RADIUS

Frage von BrigadeOfTheWickedNetzwerkmanagement3 Kommentare

Guten Tag, In unserem Studentenwohnheim wollen wir den Netzwerkzugang auf eine Authentifizierung per RADIUS umstellen. Aktuell tragen wir noch ...

LAN, WAN, Wireless

Radius Identifikation Switch oder Access Point

Frage von esquire1968LAN, WAN, Wireless4 Kommentare

Hallo! Auf meiner pfSense läuft ein Radius Server, daran hängt ein Switch und daran wiederum ein Accesspoint (Unifi UAP-AP-PRO) ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

Neue Wissensbeiträge
iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 5 StundeniOS

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 2 TagenOff Topic1 Kommentar

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 2 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Sicherheit

MikroTik: Sicherheitslücke wird ausgenutzt obwohl ein Update seit langem verfügbar ist

Information von sabines vor 2 TagenSicherheit

Obwohl ein Update, dass die nun massenhaft ausgenutzte Lücke schließt, seit langem (März 2018) verfügbar ist, wird es offensichtlich ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Server 2010: Keine Eingehenden E-MAils
Frage von gabeBUExchange Server15 Kommentare

Hallo Zusammen Ich habe das kurzen auf dem Exchange 2010 Server das Problem, dass ich keine externen E-Mails mehr ...

Rechtliche Fragen
Systemhaus auf Abwegen
Frage von rocco61Rechtliche Fragen13 Kommentare

Hallo zusammen, bin derzeit ratlos bei dem folgenden Scenario: In einen Seniorenheim wurde beschlossen, die IT an eine andere ...

Router & Routing
MikroTik - Routing, Bridging, Switching
gelöst Frage von Alex29Router & Routing9 Kommentare

Hallo in die Runde, als Hobby-Admin würde ich bitte mal wieder Eure Hilfe benötigen. Seit der Umstellung auf RouterOS ...

Outlook & Mail
Kalendersync mit Android und Outlook
Frage von Stefan007Outlook & Mail8 Kommentare

Hi Leute, kennt jemand eine Möglichkeit um Termine zwischen installiertem Outlook auf dem PC und dem Kalender auf einem ...