WPA 802.1.x Authentifizierung klappt nicht
Guten Tag,
ich habe ein Riesen Problem. Ich muss eine Wlan Lösung mit Radiusserver für ein Schulnetz konfigurieren. Deadline ist diesen Freitag.
Ich probiere schon wochenlang mit Windows 2003 Std. Server (Sp1) herum aber komme nicht zum gewünschten Ergebnis...
Erstmal die Hardware die ich verwende:
Test-Server mit Windows 2003 Std.
Wlan Accesspoint Level-One WAP-003 (802.1.x fähig)
Ein unabhängiger Laptop (nicht in der Domäne) mit Wlan (Dell Latitude D520)
Folgende Schritte habe ich bis jetzt auf den Win2003 Server gemacht:
-Testdomäne "win2003.net" erstellt.
-Wlan Gruppe erstellt
-Wlan Benutzer "Test" mit dem Passwort "asd" erstellt und in die Wlan Gruppe eingefügt
-Die Domäne auf Windows 2003 heraufgestuft
-Bei dem Benutzer "Test" bei "Eigenschaften->Einwählen 'Zugriff über RAS-Richtlinien steuern'" eingestellt
-Bei der "Default Domain Policy" bei den Computereinstellungen->Öffentliche Schlüssel die Automatische vergabe des Computer Zertifikats eingestellt
-Windows IAS installiert
-IAS Server mit der Domäne regestriert
-WLAN Accesspoint als "Standard Radius" konfiguriert mit dem Geheimschlüssel "test"
-Bei den IAS RAS Richtlinien eine neue "Drahtlos Richtlinie" erstellt, mit der Authentifizierung über EAP und die Gruppe "WLAN" eingetragen
-Dann die Zertifzierungsstelle installiert
-Über das Webinterface (http://localhost/certsrv) mir ein Zertifikat austellen lassen:
1. CA EXCHANGE
2. SubCA
Dann habe ich auf dem AP den Radius Server eingestellt die Verschlüsselung auf 128 BIT gestellt , den Geheimen Schlüssel eingetragen ("test") und die Verschlüsseling auf WPA gestellt
Auf dem Dell Laptop habe ich den Accespoint so Konfiguriert:
-Netzwerkauthentifzierung: WPA
-Datenverschlüsselung: TKIP
-EAP-Typ: Geschütztes EAP
-Haken bei "Als Computer authentifizieren [...]"
-Das Stammzertifikat vom Server geholt und installiert
-Unter Eigenschaften vom Geschützten EAP das Zertifikat ausgewählt und bei Verbindung mit dem Server herstellen folgendes eintragen: win2k3.win2003.net
-Den Haken bei Automatsche Windowsanmeldenamen [...] weggemacht.
Wenn ich jetzt versuche zu connecten und gebe meine Daten ein (User: Test, Passwort: asd, Domäne: WIN2003). Versucht er mich ewig zu Authentifizieren und gibt es dann auf und ich muss erneut meine Daten eingeben..
Hat irgendjemand eine Idee?? Es wäre extrem wichtig für mich das bis Freitag fertig zu bekommen. Tutorial-Links könnt ihr mir gerne auch schicken aber ich denke ich habe so ziemlich die meisten schon durch....
Ansonsten ist auf dem Server nur noch ein DNS (Forward und Reverse Lookup) und DHCP (192.168.0.100- 200) installiert.
Vielleicht weis ja einer etwas...
ich habe ein Riesen Problem. Ich muss eine Wlan Lösung mit Radiusserver für ein Schulnetz konfigurieren. Deadline ist diesen Freitag.
Ich probiere schon wochenlang mit Windows 2003 Std. Server (Sp1) herum aber komme nicht zum gewünschten Ergebnis...
Erstmal die Hardware die ich verwende:
Test-Server mit Windows 2003 Std.
Wlan Accesspoint Level-One WAP-003 (802.1.x fähig)
Ein unabhängiger Laptop (nicht in der Domäne) mit Wlan (Dell Latitude D520)
Folgende Schritte habe ich bis jetzt auf den Win2003 Server gemacht:
-Testdomäne "win2003.net" erstellt.
-Wlan Gruppe erstellt
-Wlan Benutzer "Test" mit dem Passwort "asd" erstellt und in die Wlan Gruppe eingefügt
-Die Domäne auf Windows 2003 heraufgestuft
-Bei dem Benutzer "Test" bei "Eigenschaften->Einwählen 'Zugriff über RAS-Richtlinien steuern'" eingestellt
-Bei der "Default Domain Policy" bei den Computereinstellungen->Öffentliche Schlüssel die Automatische vergabe des Computer Zertifikats eingestellt
-Windows IAS installiert
-IAS Server mit der Domäne regestriert
-WLAN Accesspoint als "Standard Radius" konfiguriert mit dem Geheimschlüssel "test"
-Bei den IAS RAS Richtlinien eine neue "Drahtlos Richtlinie" erstellt, mit der Authentifizierung über EAP und die Gruppe "WLAN" eingetragen
-Dann die Zertifzierungsstelle installiert
-Über das Webinterface (http://localhost/certsrv) mir ein Zertifikat austellen lassen:
1. CA EXCHANGE
2. SubCA
Dann habe ich auf dem AP den Radius Server eingestellt die Verschlüsselung auf 128 BIT gestellt , den Geheimen Schlüssel eingetragen ("test") und die Verschlüsseling auf WPA gestellt
Auf dem Dell Laptop habe ich den Accespoint so Konfiguriert:
-Netzwerkauthentifzierung: WPA
-Datenverschlüsselung: TKIP
-EAP-Typ: Geschütztes EAP
-Haken bei "Als Computer authentifizieren [...]"
-Das Stammzertifikat vom Server geholt und installiert
-Unter Eigenschaften vom Geschützten EAP das Zertifikat ausgewählt und bei Verbindung mit dem Server herstellen folgendes eintragen: win2k3.win2003.net
-Den Haken bei Automatsche Windowsanmeldenamen [...] weggemacht.
Wenn ich jetzt versuche zu connecten und gebe meine Daten ein (User: Test, Passwort: asd, Domäne: WIN2003). Versucht er mich ewig zu Authentifizieren und gibt es dann auf und ich muss erneut meine Daten eingeben..
Hat irgendjemand eine Idee?? Es wäre extrem wichtig für mich das bis Freitag fertig zu bekommen. Tutorial-Links könnt ihr mir gerne auch schicken aber ich denke ich habe so ziemlich die meisten schon durch....
Ansonsten ist auf dem Server nur noch ein DNS (Forward und Reverse Lookup) und DHCP (192.168.0.100- 200) installiert.
Vielleicht weis ja einer etwas...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 46995
Url: https://administrator.de/contentid/46995
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
2 Kommentare
Neuester Kommentar
Was sagt das Ereignis Log des IAS ??? Kommen deine Radius Packete vom AP überhaupt an beim Radius /IAS Server. (Sniffer Check ggf. mit Wireshark)
Radius benutzt aus historischen Gründen 2 verschiedene TCP Ports, ggf. ist dein AP und Server auf dem falschen Port.
Meist wird heute der Port 1645 Authentication und 1646 Accounting benutzt aber viele Implementationen stehen noch auf 1812 bzw. 1813. Das solltest du unbedingt checken vorher.
Fallstrick kann auch ein falscher Radius Key sein der auf Server und AP absolut gleich konfiguriert werden muss (Gross- Kleinschrift etc.)
In jedem Falle schafft das IAS Ereignislog sofort Aufklärung wenn was mit Schlüsseln oder Zertifikaten nicht stimmen sollte.
Ist es sauber konfiguriert funktioniert .1x meist problemlos.
Radius benutzt aus historischen Gründen 2 verschiedene TCP Ports, ggf. ist dein AP und Server auf dem falschen Port.
Meist wird heute der Port 1645 Authentication und 1646 Accounting benutzt aber viele Implementationen stehen noch auf 1812 bzw. 1813. Das solltest du unbedingt checken vorher.
Fallstrick kann auch ein falscher Radius Key sein der auf Server und AP absolut gleich konfiguriert werden muss (Gross- Kleinschrift etc.)
In jedem Falle schafft das IAS Ereignislog sofort Aufklärung wenn was mit Schlüsseln oder Zertifikaten nicht stimmen sollte.
Ist es sauber konfiguriert funktioniert .1x meist problemlos.