4
Windows Server 2008R2 RADIUS (NPS)
Hallo,
ich habe ein Problem mit der Einrichtung eines Windows AD RADIUS-Servers.
Der Server selbst läuft, akzeptiert nur keinerlei Benutzer
RADIUS-Client ist mit IP_Adresse angelegt und mabnuellem Secret angelegt.
Bei den Verbindungsanfragen habe ich eine Richtliche "Sichere Drahtlosverbindungen 2" mit dem Assistenten dafür erstellt.
Bedingungen: NAS-Porttyp = Ethernet OR Wireless IEEE 802.11 OR Wireless - Other
Einstellungen darin: keine Authentifizierung
Dazu kommt noch eine gleichnamiger Netzwerkrichtline mit den gleichen Bedingungen wie oben, nur dass der Benutzer noch Mitglied einer bestimmten Windows-Grußße sein muss.
Einschränkungen: Gesichertes Kennwort (EAP-MSCHAPv2) + MSCHAP + CHAP + PAP + SPAP und erlaubter Kennwortänderung
(einiges davon nur um Fehlerquellen auszuschließen)
Wenn ich das ganze nun testen möchte, bekomme ich immer "Access-Reject"
Woran kann das noch liegen?
P.S.: Ich teste mit dem NTRadPing Test Utility
Gruß Heinz
ich habe ein Problem mit der Einrichtung eines Windows AD RADIUS-Servers.
Der Server selbst läuft, akzeptiert nur keinerlei Benutzer
RADIUS-Client ist mit IP_Adresse angelegt und mabnuellem Secret angelegt.
Bei den Verbindungsanfragen habe ich eine Richtliche "Sichere Drahtlosverbindungen 2" mit dem Assistenten dafür erstellt.
Bedingungen: NAS-Porttyp = Ethernet OR Wireless IEEE 802.11 OR Wireless - Other
Einstellungen darin: keine Authentifizierung
Dazu kommt noch eine gleichnamiger Netzwerkrichtline mit den gleichen Bedingungen wie oben, nur dass der Benutzer noch Mitglied einer bestimmten Windows-Grußße sein muss.
Einschränkungen: Gesichertes Kennwort (EAP-MSCHAPv2) + MSCHAP + CHAP + PAP + SPAP und erlaubter Kennwortänderung
(einiges davon nur um Fehlerquellen auszuschließen)
Wenn ich das ganze nun testen möchte, bekomme ich immer "Access-Reject"
Woran kann das noch liegen?
P.S.: Ich teste mit dem NTRadPing Test Utility
Gruß Heinz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 251044
Url: https://administrator.de/contentid/251044
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
erste Anlaufstelle "Eventlog".
Was steht denn drinnen warum es einen Reject gegeben hat?
erste Anlaufstelle "Eventlog".
Was steht denn drinnen warum es einen Reject gegeben hat?
Hi,
das ist ja das kuriose: gähnende leere.
Nur folgender Eintrag:
Eine LDAP-Verbindung mit dem Domänencontroller YYYYY.XXXXX.local für die Domäne XXXXXXX wurde hergestellt.
Mit Microsofts Network Monitor lässt sich jedoch zeigen, dass die RADIUS Pakete ankommen.
Danke und Gruß
Heinz
das ist ja das kuriose: gähnende leere.
Nur folgender Eintrag:
Eine LDAP-Verbindung mit dem Domänencontroller YYYYY.XXXXX.local für die Domäne XXXXXXX wurde hergestellt.
Mit Microsofts Network Monitor lässt sich jedoch zeigen, dass die RADIUS Pakete ankommen.
Danke und Gruß
Heinz
Hi,
beide den gleichen Namen?
Würde ich schon mal ändern ...
Und welchen Sinn hat die erste Regel, wenn sich keiner authentifizieren muss?
Guck mal unter C:\Windows\System32\LogFiles ; das kann man zwar kaum lesen, zeigt aber ob überhaupt was vom Radius verarbeitet wird.
VG
Deepsys
beide den gleichen Namen?
Würde ich schon mal ändern ...
Und welchen Sinn hat die erste Regel, wenn sich keiner authentifizieren muss?
Guck mal unter C:\Windows\System32\LogFiles ; das kann man zwar kaum lesen, zeigt aber ob überhaupt was vom Radius verarbeitet wird.
VG
Deepsys
Hi,
bzgl. der ersten Regel:
hat der Assi so angelegt. Ich glaube dass ist Regelung dafür welche Anfragen auf welchem Server abgehandelt werden. Sprich Hier alle Ethernet und alle WLAN auf localhost (gibt ja nur den einen RADIUS)
Unter C:\Windows\System32\LogFiles befindet sich eine IN1410.txt mit folgendem Inhalt:
"<YYYYY>","IAS",10/06/2014,16:22:27,1,"<USERNAME>","<OU>",,,,,,,,0,"<CLIENTIP>","<CLIENTHOSTNAME>",,,,,,,1,"Connections to other access servers",0,"311 1 <IPYYYYY> 10/06/2014 10:23:33 66",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
"<YYYYY>","IAS",10/06/2014,16:22:27,3,,"<OU>",,,,,,,,0,"<CLIENTIP>","<CLIENTHOSTNAME>",,,,,,,1,"Connections to other access servers",65,"311 1 <IPYYYYY> 10/06/2014 10:23:33 66",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
Diese beiden zeilen sind für jede Anfrage die ich stelle nahezu gleich.
Gruß Heinz
bzgl. der ersten Regel:
hat der Assi so angelegt. Ich glaube dass ist Regelung dafür welche Anfragen auf welchem Server abgehandelt werden. Sprich Hier alle Ethernet und alle WLAN auf localhost (gibt ja nur den einen RADIUS)
Unter C:\Windows\System32\LogFiles befindet sich eine IN1410.txt mit folgendem Inhalt:
"<YYYYY>","IAS",10/06/2014,16:22:27,1,"<USERNAME>","<OU>",,,,,,,,0,"<CLIENTIP>","<CLIENTHOSTNAME>",,,,,,,1,"Connections to other access servers",0,"311 1 <IPYYYYY> 10/06/2014 10:23:33 66",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
"<YYYYY>","IAS",10/06/2014,16:22:27,3,,"<OU>",,,,,,,,0,"<CLIENTIP>","<CLIENTHOSTNAME>",,,,,,,1,"Connections to other access servers",65,"311 1 <IPYYYYY> 10/06/2014 10:23:33 66",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,
Diese beiden zeilen sind für jede Anfrage die ich stelle nahezu gleich.
Gruß Heinz
