34
Zertifikat für RADIUS Authentifizierung per WLAN
Guten Tag
Ich habe anhand dieser Anleitung "http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.html?artikelseite=2" versucht eine RADIUS basierte Authentifizierung über meinen Access Points zu konfigurieren. Nun komme ich bei der 2. Seite -> Zertifikatvorlagen nicht mehr weiter.
Weshalb sind keine Zertifikattypen verfügbar? In der Anleitung steht das Zertifikate abhängig von AD ist und dieser AD installiert sein muss das ist ja gegeben.
Eine Zertifizierungsstelle habe ich gemacht. Nun müsste ich unter Zertifikatvorlagen die Domänencontrollerauthentifizierung registieren aber diese finde ich nicht in der Übersicht der Vorlagen für Zertifikate. Das Zertifikat ist auch dem gleichen Server erstellt worden wo sich auch AD befindet. Google half mir leider auch nicht weiter. Wieso fehlt der
Freundliche Grüsse
Nicolas
Ich habe anhand dieser Anleitung "http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.html?artikelseite=2" versucht eine RADIUS basierte Authentifizierung über meinen Access Points zu konfigurieren. Nun komme ich bei der 2. Seite -> Zertifikatvorlagen nicht mehr weiter.
Weshalb sind keine Zertifikattypen verfügbar? In der Anleitung steht das Zertifikate abhängig von AD ist und dieser AD installiert sein muss das ist ja gegeben.
Eine Zertifizierungsstelle habe ich gemacht. Nun müsste ich unter Zertifikatvorlagen die Domänencontrollerauthentifizierung registieren aber diese finde ich nicht in der Übersicht der Vorlagen für Zertifikate. Das Zertifikat ist auch dem gleichen Server erstellt worden wo sich auch AD befindet. Google half mir leider auch nicht weiter. Wieso fehlt der
Freundliche Grüsse
Nicolas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 291404
Url: https://administrator.de/contentid/291404
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
34 Kommentare
Neuester Kommentar
Kuck dir mal die Anleitung an, die ist zwar für 2008 R2 aber ein wenig detaillierter und auch analog auf 2012 R2 anwendbar.
http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-m ...
http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-m ...
Zitat von @rzlbrnft:
Kuck dir mal die Anleitung an, die ist zwar für 2008 R2 aber ein wenig detaillierter und auch analog auf 2012 R2 anwendbar.
http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-m ...
Kuck dir mal die Anleitung an, die ist zwar für 2008 R2 aber ein wenig detaillierter und auch analog auf 2012 R2 anwendbar.
http://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-m ...
Danke für deine Anleitung. Leider klappt nicht alles so wie es soll uns muss.
Bei folgendem Punkt stehe ich an:
Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen
Das Problem:
Wenn ich auf dem Client mit dem User KeyRecoveryAgent ein Zertifikat Anforderung einrichte wird das Zertifikat auf dem Server nicht nicht unter "Ausstehende Anforderungen" angezeigt stattdessen wird das Zertifikat gleich genehmigt und aktiviert. Woran liegt das?
Beim Punkt
Autoarchivierung für die CA einschalten
Kann ich nicht das KeyRecoveryAgent-Zertifik welches ich eben erstellt hatte auswählen. Ich erhalte folgendes zur Auswahl:
Ereignisanzeige:
"
Die Anforderung 19 konnte aufgrund eines Fehlers nicht ausgeführt werden: Privater Schlüssel kann nicht archiviert werden. Die Zertifizierungsstelle ist nicht für die Schlüsselarchivierung konfiguriert. 0x8009400a (-2146877430 CERTSRV_E_KEY_ARCHIVAL_NOT_CONFIGURED). Die Anforderung bezog sich auf DEB\test-acc01. Weitere Informationen: Fehler beim Archivieren des privaten Schlüssels
"
Danke für deine Hilfe.
Ich habe auch noch den NPS-Server konfiguriert und musste leider am Schluss feststellen, dass nicht geht. Beim Verbindunden mit dem RADIUS-WLAN erscheint nichtmal die Eingabemaske sondern direkt "Es konnte keine Verbindung mit hergestellt werden."
Es scheint wohl komplizierter zu sein so einen RADIUS authentifizierung einzurichten als gedacht... Ist eine solche Zertifizierungstelle wirklich nötig? Die Clients können doch auch mittels MSCHAP sich gegenüber dem Server authentifizieren oder nicht?
Was mir noch aufgefallen ist, wenn ich mit dem IPhone versuche mit dem RADIUS zu verbinden kommt zwar die Abfrage von Benutzername und Passwort jedoch bei Windows schlägts fehl.
Ereignisanzeige:
"
Es wurde eine "Access-Request"-Meldung vom RADIUS-Client 192.168.0.4\* mit einem ungültigen "Message Authenticator"-Attribut empfangen.
+
Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen.
"
\* = Mein Access Point Zyxel NWA1121-NI
Ich habe auch noch den NPS-Server konfiguriert
Wieso "noch" ???Einzig nur der NPS macht die Authentisierung !! Der NPS ist doch der Radius Server der einzig für die 802.1x Authentisierung zuständig ist...nichts anderes !
"Es konnte keine Verbindung mit hergestellt werden."
Ganz wichtig:Hast du geprüft ob du vom AP den Radius pingen kannst UND auch vom Radius den AP ??
Außerdem wichtig: Die lokale Firewall des Radius MUSS zwingend diese Radius Pakete passierne lassen.
Prüfe das genau das das klappt nicht das es schon an solchen Banalitäten scheitert....!
Es scheint wohl komplizierter zu sein so einen RADIUS authentifizierung einzurichten als gedacht...
Nein...natürlich ist das laienhafter Blödsinn, aber das weisst du auch selber.Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Ein Raspberry Pi tuts natürlich auch mit den gleichen Komponenten.
Tutorials für alles findest du wie immer hier im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Zitat von @aqui:
Einzig nur der NPS macht die Authentisierung !! Der NPS ist doch der Radius Server der einzig für die 802.1x Authentisierung zuständig ist...nichts anderes !
Ich habe auch noch den NPS-Server konfiguriert
Wieso "noch" ???Einzig nur der NPS macht die Authentisierung !! Der NPS ist doch der Radius Server der einzig für die 802.1x Authentisierung zuständig ist...nichts anderes !
Das ist mir klar.
So wie ich das verstehe braucht es die AD-Zertifizierungsstelle auch wirklich ohne gehts wohl nicht. Aber dort hatte ich Probleme beim erstellen dieses KeyRecoveryAgent möglicherweise verursacht das die Probleme?
"Es konnte keine Verbindung mit hergestellt werden."
Ganz wichtig:Hast du geprüft ob du vom AP den Radius pingen kannst UND auch vom Radius den AP ??
Außerdem wichtig: Die lokale Firewall des Radius MUSS zwingend diese Radius Pakete passierne lassen.
Prüfe das genau das das klappt nicht das es schon an solchen Banalitäten scheitert....!
Von RADIUS kann ich den AP erfolgreich pingen. Wie soll ich den vom AP her den Radius pingen? Ich kann mich mit dem AP via http://192.168.0.4 verbinden aber dort gibt keine Möglichkeit ein Ping auszusenden. Einen Seriellen-Anschluss verfügt der AP nicht damit wäre es glaube möglich gewesen? Also wie kann ich über den AP den Radius pingen?
Leider klappte es mit deaktivierter Firewall auf dem Radius ebenfalls nicht weiter habe ich noch auf dem Access Point den DNS-Server stattt den Router die IP-Adressen meiner beiden DCs eingegeben. Leider nützt auch das nichts.
Es scheint wohl komplizierter zu sein so einen RADIUS authentifizierung einzurichten als gedacht...
Nein...natürlich ist das laienhafter Blödsinn, aber das weisst du auch selber.Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Ein Raspberry Pi tuts natürlich auch mit den gleichen Komponenten.
Tutorials für alles findest du wie immer hier im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Jetzt habe ich mit Windows-Server und dem NPS angefangen und mehrere Stunden in das alles investiert jetzt wieder zu wechseln ist noch zeitaufwendiger zudem benutzten wir in der Firma ebenfalls die RADIUS Authentifizierung und ich habe es anhand dieser Anleitung konfiguriert.
Ich habe nochmals nach dem Fehler gesucht und musste nun feststellen, dass der Client der sich via Radius authentifizieren soll kein Zertifikat besitzt wenn ich nun ein Zertifikat bei der Zertifizierungsstelle (Mein AD mit Radius drauf) anfordern will kommt eine Fehlermeldung:
So wie ich den Fehler interpretieren, scheint es wohl darum zu liegen das etwas mit dem KeyRecoveryAgent nicht stimmt wie im ersten Beitrag bereits erwähnt.
Ich habe nach dieser Anleitung gearbeitet:
https://technikblog.rachfahl.de/technik/einrichten-einer-microsoft-pki-m ...
Zitat von @aqui:
Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Ubuntu ist für einen Windows User überhaupt nicht einfach und logisch und ausserdem ist es wieder ein zusätzliches System wo ich nochmal extra Hand anlegen muss wenn einem Rechner der WLAN Zugriff gesperrt werden soll, bei Windows Server brauch ich nur das Computerkonto deaktivieren, fertig, kein Zugriff mehr auf WLAN.
Server 2012 setzt während der Installation der Rollen fast alle nötigen Einstellungen automatisch. Wenn man das tut was einem der Bildschirm vorgibt dann braucht man nicht recht viel mehr zu tun ausser Klick Klick Weiter Weiter, einfacher gehts nun wirklich nicht.
Man benötigt lediglich ein gültiges Computerzertifikat für den Authentication Server und eins für den Client der sich authentifizieren will von der Domain Registrierungsstelle.
Der Fehler liegt hier offensichtlich schon bei der Zertifizierungsstelle.
Ich habe eigentlich bei uns das selbe Tutorial benutzt wie du und es hat auf Anhieb funktioniert.
Wichtig:
- Du brauchst eine Zertifikatvorlage für Computer die Clientauthentifizierung und Serverauthentifizierung unterstützt.
- Du musst das Zertifikat deiner Zertifizierungsstelle bei deinen Clients per GPO in die Vertrauenswürdigen Stammzertifizierungsstellen einfügen
- Du solltes die automatische Verteilung von Computerzertifikaten per GPO für deine Clientcomputer aktivieren.
- Per MMC kannst du in deiner Stammzertifizierungsstelle prüfen ob du die richtigen Zertifikatsvorlagen benutzt, du brauchst mal mindestens das Standardcomputerzertifikat dafür.
Bis alle Clients ein Computerzertifikat haben kann es etwas dauern. Ich hab dir ein paar Screenshots angehängt.
Gruppenrichtlinien:
Zitat von @rzlbrnft:
Ubuntu ist für einen Windows User überhaupt nicht einfach und logisch und ausserdem ist es wieder ein zusätzliches System wo ich nochmal extra Hand anlegen muss wenn einem Rechner der WLAN Zugriff gesperrt werden soll, bei Windows Server brauch ich nur das Computerkonto deaktivieren, fertig, kein Zugriff mehr auf WLAN.
Server 2012 setzt während der Installation der Rollen fast alle nötigen Einstellungen automatisch. Wenn man das tut was einem der Bildschirm vorgibt dann braucht man nicht recht viel mehr zu tun ausser Klick Klick Weiter Weiter, einfacher gehts nun wirklich nicht.
Man benötigt lediglich ein gültiges Computerzertifikat für den Authentication Server und eins für den Client der sich authentifizieren will von der Domain Registrierungsstelle.
Der Fehler liegt hier offensichtlich schon bei der Zertifizierungsstelle.
Ich habe eigentlich bei uns das selbe Tutorial benutzt wie du und es hat auf Anhieb funktioniert.
Wichtig:
- Du brauchst eine Zertifikatvorlage für Computer die Clientauthentifizierung und Serverauthentifizierung unterstützt.
- Du musst das Zertifikat deiner Zertifizierungsstelle bei deinen Clients per GPO in die Vertrauenswürdigen Stammzertifizierungsstellen einfügen
- Du solltes die automatische Verteilung von Computerzertifikaten per GPO für deine Clientcomputer aktivieren.
- Per MMC kannst du in deiner Stammzertifizierungsstelle prüfen ob du die richtigen Zertifikatsvorlagen benutzt, du brauchst mal mindestens das Standardcomputerzertifikat dafür.
Bis alle Clients ein Computerzertifikat haben kann es etwas dauern. Ich hab dir ein paar Screenshots angehängt.
Gruppenrichtlinien:
Zitat von @aqui:
Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Du solltest ggf. erstmal mit einem Ubuntu oder Debian in einer VirtualBox starten und den FreeRadius verwenden.
Damit ist ein Start in die 802.1x Welt erheblich einfacher und logischer und auch schneller zu verstehen weil man erheblich besser Debugging Möglichkeiten hat und sich nicht durch zig überfrachtete und unlogische GUIs klicken muss.
Ubuntu ist für einen Windows User überhaupt nicht einfach und logisch und ausserdem ist es wieder ein zusätzliches System wo ich nochmal extra Hand anlegen muss wenn einem Rechner der WLAN Zugriff gesperrt werden soll, bei Windows Server brauch ich nur das Computerkonto deaktivieren, fertig, kein Zugriff mehr auf WLAN.
Server 2012 setzt während der Installation der Rollen fast alle nötigen Einstellungen automatisch. Wenn man das tut was einem der Bildschirm vorgibt dann braucht man nicht recht viel mehr zu tun ausser Klick Klick Weiter Weiter, einfacher gehts nun wirklich nicht.
Man benötigt lediglich ein gültiges Computerzertifikat für den Authentication Server und eins für den Client der sich authentifizieren will von der Domain Registrierungsstelle.
Der Fehler liegt hier offensichtlich schon bei der Zertifizierungsstelle.
Ich habe eigentlich bei uns das selbe Tutorial benutzt wie du und es hat auf Anhieb funktioniert.
Wichtig:
- Du brauchst eine Zertifikatvorlage für Computer die Clientauthentifizierung und Serverauthentifizierung unterstützt.
- Du musst das Zertifikat deiner Zertifizierungsstelle bei deinen Clients per GPO in die Vertrauenswürdigen Stammzertifizierungsstellen einfügen
- Du solltes die automatische Verteilung von Computerzertifikaten per GPO für deine Clientcomputer aktivieren.
- Per MMC kannst du in deiner Stammzertifizierungsstelle prüfen ob du die richtigen Zertifikatsvorlagen benutzt, du brauchst mal mindestens das Standardcomputerzertifikat dafür.
Bis alle Clients ein Computerzertifikat haben kann es etwas dauern. Ich hab dir ein paar Screenshots angehängt.
Gruppenrichtlinien:
Den NPS habe ich anhand einer Anleitung von der Arbeit konfiguriert. Ich vermute ein Problem bei den Zertifikaten:
Bei folgendem Punkt stehe ich an:
Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen
Das Problem:
Wenn ich auf dem Client mit dem User KeyRecoveryAgent ein Zertifikat Anforderung einrichte wird das Zertifikat auf dem Server nicht nicht unter "Ausstehende Anforderungen" angezeigt stattdessen wird das Zertifikat gleich genehmigt und aktiviert. Woran liegt das?
Beim Punkt
Autoarchivierung für die CA einschalten
Aber irgendwie scheint es immer noch nicht zu gehen. Ich werde nochmals von Null anfangen müssen und schaue dann ob ich so mehr erfolg habe.
Beim Punkt:
Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen
Steht man müsse beim User KeyrecoveryAgent das Zertifikat anfordern als ich nachschaute war dieses bereits ohne weitere Interaktion vorhanden. Zudem ist auf der CA unter ausstehende Zertifikate gar nichts zu finden auch wen ich eine solche Zertifikat anffoderung auf dem Client starte.
Ich glaube diese Anleitung ist nicht wirklich richtig für Windows Server 2012? Hast du den @rzlbrnft auch Server 2012? Es kann doch nicht sein, dass ich 2 mal was falsch mache.
Dann beim nächsten Schritt "Autoarchivierung für die CA einschalten"
Erscheint bei mir nicht das Zertifikat welches auf dem Screenshot in der Anleitung abgebildet ist (bei mir sollte es auch KeyRecoveryAgent heissen), sondern folgendes:
Was ist den schief gelaufen? Warum erscheinen bei mir da soviele in der Anleitung nur ein Zertifikat? Welches muss ich da nehmen?
Wenn ich die 4 Zertifikate durchprobiere erhalte ich jedesmal folgendes als Resultat:
Zertifikat für den Schlüsselwiederherstellungs-Agent erzeugen
Steht man müsse beim User KeyrecoveryAgent das Zertifikat anfordern als ich nachschaute war dieses bereits ohne weitere Interaktion vorhanden. Zudem ist auf der CA unter ausstehende Zertifikate gar nichts zu finden auch wen ich eine solche Zertifikat anffoderung auf dem Client starte.
Ich glaube diese Anleitung ist nicht wirklich richtig für Windows Server 2012? Hast du den @rzlbrnft auch Server 2012? Es kann doch nicht sein, dass ich 2 mal was falsch mache.
Dann beim nächsten Schritt "Autoarchivierung für die CA einschalten"
Erscheint bei mir nicht das Zertifikat welches auf dem Screenshot in der Anleitung abgebildet ist (bei mir sollte es auch KeyRecoveryAgent heissen), sondern folgendes:
Was ist den schief gelaufen? Warum erscheinen bei mir da soviele in der Anleitung nur ein Zertifikat? Welches muss ich da nehmen?
Wenn ich die 4 Zertifikate durchprobiere erhalte ich jedesmal folgendes als Resultat:
Der Wiederherstellungs-Agent ist ein User. Bei uns macht das der User Administrator.
Meld dich mal als Administrator an deinem CA Server an, füge bei der MMC den Zertifikatsspeicher des lokalen Benutzers hinzu und versuche dir für den ein Zertifikat zu registrieren, er müsste normalerweise die Vorlage für Key-Recovery-Agents registrieren können.
Ich glaube allerdings nicht das das dein Problem ist, ich hab grad auf unserem Server nachgeschaut und gesehen das unser Agent Zertifikat schon einen Monat abgelaufen war.
Meld dich mal als Administrator an deinem CA Server an, füge bei der MMC den Zertifikatsspeicher des lokalen Benutzers hinzu und versuche dir für den ein Zertifikat zu registrieren, er müsste normalerweise die Vorlage für Key-Recovery-Agents registrieren können.
Ich glaube allerdings nicht das das dein Problem ist, ich hab grad auf unserem Server nachgeschaut und gesehen das unser Agent Zertifikat schon einen Monat abgelaufen war.
Zitat von @rzlbrnft:>
Der Wiederherstellungs-Agent ist ein User. Bei uns macht das der User Administrator.
Das habe ich verstanden, habe ja auch einen User gemacht. Verstehe aber noch nicht genau wie dieser User genutzt wird. Wofür den dieser KRA überhaupt dient?Der Wiederherstellungs-Agent ist ein User. Bei uns macht das der User Administrator.
Meld dich mal als Administrator an deinem CA Server an, füge bei der MMC den Zertifikatsspeicher des lokalen Benutzers hinzu und versuche dir für den ein Zertifikat zu registrieren, er müsste normalerweise die Vorlage für Key-Recovery-Agents registrieren können.
Ohh mann nichts geht
. Hier mal einen Screenshot...
Wie also registiere ich für den Administrator ein KEyRecovery Zertifikat? Wenn ich nichtmal die Rechte dazu habe und wo stelle ich das um damit ich eben ein solches Zertifikat machen kann? Unter dem Punkt von oben müsste doch stimmen wenn ich unter der Zertifikatvorlage -> Rechtsklick auf den Wiederherstellungs-Agent -> Sicherheit der Gruppe Domänenadmin das Recht gebe Zertifikate anzufordern etc. also Vollzugriff gebe oder nicht?
Muss den der KRA Administratoren-Rechte haben? Bei mir habe ich einen User namens "KeyRecoveryAgent" gemacht genau so wie es in der Anleitung stand.
Wieso den blos kann ich, mich nicht für das Zertifikat einschreiben obwohl ich in dieser Zertifikatvorlage (Wiederherstellungsschlüssel) vollzugriff habe? Verstehe ich einfach nicht...
Ich glaube allerdings nicht das das dein Problem ist, ich hab grad auf unserem Server nachgeschaut und gesehen das unser Agent Zertifikat schon einen Monat abgelaufen war.
Das glaube ich auch nicht, ich habe die Anleitung 2 mal durchgespielt mit den identischen Fehlermeldungen die Fehlermeldungen sind im Screenshot im letzten Beitrag bereits dokumentiert.
Zitat von @osze90:
Das glaube ich auch nicht, ich habe die Anleitung 2 mal durchgespielt mit den identischen Fehlermeldungen die Fehlermeldungen sind im Screenshot im letzten Beitrag bereits dokumentiert.
Das glaube ich auch nicht, ich habe die Anleitung 2 mal durchgespielt mit den identischen Fehlermeldungen die Fehlermeldungen sind im Screenshot im letzten Beitrag bereits dokumentiert.
Hast du denn ein gültiges Computerzertifikat auf dem Server der Radius machen soll?
Zitat von @rzlbrnft:
Hast du denn ein gültiges Computerzertifikat auf dem Server der Radius machen soll?
Zitat von @osze90:
Das glaube ich auch nicht, ich habe die Anleitung 2 mal durchgespielt mit den identischen Fehlermeldungen die Fehlermeldungen sind im Screenshot im letzten Beitrag bereits dokumentiert.
Das glaube ich auch nicht, ich habe die Anleitung 2 mal durchgespielt mit den identischen Fehlermeldungen die Fehlermeldungen sind im Screenshot im letzten Beitrag bereits dokumentiert.
Hast du denn ein gültiges Computerzertifikat auf dem Server der Radius machen soll?
So wie ich das bewerten kann, ist ein gültiges Zertifikat vorhanden:
Ich habe alle geprüft welche "testsrv" enthalten.
Auf Seiten des Users KEyRecoveryAgent ist das Zertifikat "KeyRecoveryAgent" registiert und auch dieses ist gültig bis zum 30.12.2017.
Mit dem KRA User kann nun ein Zertifikat mit den Vorlagen BASIS-EFS, Benutzer und Schlüsselwiederherstellungsagent registieren.
Es klappt immer noch nicht, mit der Autoarchivierung des Wiederherstellungsschlüssels.
Ich dachte dir gehts um Radius, damit hat diese Autoarchivierung erst mal nix zu tun.
Für Radius brauchst du ein Zertifikat mit der Vorlage "Computer" oder einer Kopie der Standardvorlage Computer mit deinen eigenen Angaben z.B. verlängerter Zeitraum. So eins seh ich in deinem Screenshot nicht.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
Für Radius brauchst du ein Zertifikat mit der Vorlage "Computer" oder einer Kopie der Standardvorlage Computer mit deinen eigenen Angaben z.B. verlängerter Zeitraum. So eins seh ich in deinem Screenshot nicht.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
1Zitat von @rzlbrnft:
Ich dachte dir gehts um Radius, damit hat diese Autoarchivierung erst mal nix zu tun.
Ich dachte dir gehts um Radius, damit hat diese Autoarchivierung erst mal nix zu tun.
Ja geht es auch möchte einen Radius. Aber in der Anleitung von "http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.html?artikelseite=2" ist doch klar beschrieben wie ein Radius zu konfigurieren ist und dort steht das die Autoarchivierung aktiviert werden muss. Also ist die Anleitung falsch? Habe ich also für nichts mehrfach nach dieser Anleitung probiert den Radius zum Laufen zu bringen? Was muss ich den tun und konfigurieren? Kannst du mir eventuell eine Schritt nach Schritt Anleitung geben?
Wozu ist den dieser KRA den eigentlich genau verstehe ich auch nicht ganz. Kennt den KRA sämtliche private Schlüsseln von jedem Zertifikat und somit kann er die Daten auslesen sollte ein Schlüssel verloren gegangen sein?
Für Radius brauchst du ein Zertifikat mit der Vorlage "Computer" oder einer Kopie der Standardvorlage Computer mit deinen eigenen Angaben z.B. verlängerter Zeitraum. So eins seh ich in deinem Screenshot nicht.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
Also brauch die Zertifikatvorlage EFZ-Wiederherstellungsschlüssel gar nicht, nur die Zertifikatvorlage "Computer"?
Brauchts diesen KeyRecoveryAgent User?
Sind nun alle Einstellungen welche ich nach dieser Anleitung gemacht hatte falsch? Muss ich alles rückgänig machen?
Zitat von @osze90:
Ja geht es auch möchte einen Radius. Aber in der Anleitung von "http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.html?artikelseite=2" ist doch klar beschrieben wie ein Radius zu konfigurieren ist und dort steht das die Autoarchivierung aktiviert werden muss. Also ist die Anleitung falsch? Habe ich also für nichts mehrfach nach dieser Anleitung probiert den Radius zum Laufen zu bringen? Was muss ich den tun und konfigurieren? Kannst du mir eventuell eine Schritt nach Schritt Anleitung geben?
Wozu ist den dieser KRA den eigentlich genau verstehe ich auch nicht ganz. Kennt den KRA sämtliche private Schlüsseln von jedem Zertifikat und somit kann er die Daten auslesen sollte ein Schlüssel verloren gegangen sein?
Also brauch die Zertifikatvorlage EFZ-Wiederherstellungsschlüssel gar nicht, nur die Zertifikatvorlage "Computer"?
Brauchts diesen KeyRecoveryAgent User?
Was muss ich den genau Einstellen in dieser Zertifikatvorlage "Computer"?
Sind nun alle Einstellungen welche ich nach dieser Anleitung gemacht hatte falsch? Muss ich alles rückgänig machen?
Zitat von @rzlbrnft:
Ich dachte dir gehts um Radius, damit hat diese Autoarchivierung erst mal nix zu tun.
Ich dachte dir gehts um Radius, damit hat diese Autoarchivierung erst mal nix zu tun.
Ja geht es auch möchte einen Radius. Aber in der Anleitung von "http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.html?artikelseite=2" ist doch klar beschrieben wie ein Radius zu konfigurieren ist und dort steht das die Autoarchivierung aktiviert werden muss. Also ist die Anleitung falsch? Habe ich also für nichts mehrfach nach dieser Anleitung probiert den Radius zum Laufen zu bringen? Was muss ich den tun und konfigurieren? Kannst du mir eventuell eine Schritt nach Schritt Anleitung geben?
Wozu ist den dieser KRA den eigentlich genau verstehe ich auch nicht ganz. Kennt den KRA sämtliche private Schlüsseln von jedem Zertifikat und somit kann er die Daten auslesen sollte ein Schlüssel verloren gegangen sein?
Für Radius brauchst du ein Zertifikat mit der Vorlage "Computer" oder einer Kopie der Standardvorlage Computer mit deinen eigenen Angaben z.B. verlängerter Zeitraum. So eins seh ich in deinem Screenshot nicht.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
Dein Stammzertifizierungsstellen Zertifikat dient nur der Identifizierung der PKI und muss bei allen Client Rechnern und Servern im Speicher der vertrauenswürdigen Stammzertifizierungsstellen abgelegt werden damit sie von diesem Server Zertifikate akzeptieren.
Also brauch die Zertifikatvorlage EFZ-Wiederherstellungsschlüssel gar nicht, nur die Zertifikatvorlage "Computer"?
Brauchts diesen KeyRecoveryAgent User?
Was muss ich den genau Einstellen in dieser Zertifikatvorlage "Computer"?
Sind nun alle Einstellungen welche ich nach dieser Anleitung gemacht hatte falsch? Muss ich alles rückgänig machen?
In der Anleitung lese ich nichts vom Key Recovery Agent. Den brauchst du nur zur Wiederherstellung von privaten Schlüsseln falls ein Benutzer seinen Schlüssel verliert. Also z.B. wenn Informationen verschlüsselt wurden und man nicht mehr drankommt. Hab ich selbst noch nicht benutzen müssen bisher.
https://technet.microsoft.com/de-de/library/cc730721.aspx
Du musst nicht alles neu einstellen, du brauchst einfach nur ein gültiges Computerzertifikat auf deinem Radius Server, damit die Clients wissen das das ein vertrauenswürdiger Server ist. Ich würd mir die Standardvorlage "Computer" kopieren und ein eigenes Zert verwenden mit einer höheren Laufzeit. Dann hast du ein paar Jahre Ruhe wenns läuft.
https://technet.microsoft.com/de-de/library/cc730721.aspx
Du musst nicht alles neu einstellen, du brauchst einfach nur ein gültiges Computerzertifikat auf deinem Radius Server, damit die Clients wissen das das ein vertrauenswürdiger Server ist. Ich würd mir die Standardvorlage "Computer" kopieren und ein eigenes Zert verwenden mit einer höheren Laufzeit. Dann hast du ein paar Jahre Ruhe wenns läuft.
Zitat von @rzlbrnft:
In der Anleitung lese ich nichts vom Key Recovery Agent. Den brauchst du nur zur Wiederherstellung von privaten Schlüsseln falls ein Benutzer seinen Schlüssel verliert. Also z.B. wenn Informationen verschlüsselt wurden und man nicht mehr drankommt. Hab ich selbst noch nicht benutzen müssen bisher.
https://technet.microsoft.com/de-de/library/cc730721.aspx
Ich habe mir die Anleitung nochmals durchgelesen und siehe es steht etwas von Schlüssel Archivierung:In der Anleitung lese ich nichts vom Key Recovery Agent. Den brauchst du nur zur Wiederherstellung von privaten Schlüsseln falls ein Benutzer seinen Schlüssel verliert. Also z.B. wenn Informationen verschlüsselt wurden und man nicht mehr drankommt. Hab ich selbst noch nicht benutzen müssen bisher.
https://technet.microsoft.com/de-de/library/cc730721.aspx
Also was ich vorhabe mit dem RADIUS-Server ist kein Asymmetrisches Verschlüsselung sondern Symmetrische also wird keine Schlüssel Archivierung benutzt? Richtig oder?
Du musst nicht alles neu einstellen, du brauchst einfach nur ein gültiges Computerzertifikat auf deinem Radius Server, damit die Clients wissen das das ein vertrauenswürdiger Server ist. Ich würd mir die Standardvorlage "Computer" kopieren und ein eigenes Zert verwenden mit einer höheren Laufzeit. Dann hast du ein paar Jahre Ruhe wenns läuft.
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Zitat von @osze90:
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Sonst nichts. Probier das doch einfach mal.
Zitat von @rzlbrnft:
Sonst nichts. Probier das doch einfach mal.
Zitat von @osze90:
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Sonst nichts. Probier das doch einfach mal.
Gut hoffe es klappt endlich. Melde mich sonst wieder.
Zitat von @osze90:
Gut hoffe es klappt endlich. Melde mich sonst wieder.
Zitat von @rzlbrnft:
Sonst nichts. Probier das doch einfach mal.
Zitat von @osze90:
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Aha ok davon seht ja nichts in der Anleitung... Und was muss in der Zertifikatvorlage "Computer" noch alles konfiguriert werden? Damit dann hoffentlich alles funktioniert?
Sonst nichts. Probier das doch einfach mal.
Gut hoffe es klappt endlich. Melde mich sonst wieder.
Geht immer noch nicht...
Das fängt schon damit an wenn ich auf dem Client eine Zertifikatanforderung machen will erscheint die Vorlage "Computer" nicht sondern nur Benutzer und EFS.
Zurzeit habe ich manuell beim Client eine Benutzerzertifikatvorlage angefordert dort steht, dass diese zur Clientauthentifizerung dient. Werden also die Zertifikate Client und Computer auf dem Client benötigt?
Die Frage ist ob ich eine Zertifizierungsanforderung manuell überhaupt machen muss, über GPO lässt sich das Zertifikat ja automatisch anfordern und erneuern?
Zudem beim Konfigurieren des Automatischen erneurn des Zertifikafs per GPO lässt sich hier kein Computer auswählen (siehe Screenshot):
Kannst du mir noch bitte sagen, wie ich auf dem Client vertrauenswürdige Stammzertifikate löschen kann? Ich habe auf dem Client von meiner alten Zertifizierungsstelle noch veraltet Zertifikate in der Liste der vertrauenswürdigen Zertifikate. Durch googeln kam ich nicht weiter.
Kennt sich noch jemand anders damit aus und könnte helfen.
Wäre froh, wenn ich diesen RADIUS endlichen zum Laufen bringen könnte.
Wäre froh, wenn ich diesen RADIUS endlichen zum Laufen bringen könnte.
Suche immer noch nach Hilfe um diesen verflixten RADIUS-Server zum Laufen zu bringen. Habe bisher einfach nicht hinbekommen diesen zum Laufen zu bringen. Vermutliche immer noch ein Zertifikat Problem.
Der Notebook kann eine Verbindung zum AP herstellen, diese Unterbricht jedoch gleich wieder (wohl weil der RADIUS-Server nicht geht).
Das Stand im Log des APs, das die MAC-Adresse sich im AP eingeloggt hat.
Der Notebook kann eine Verbindung zum AP herstellen, diese Unterbricht jedoch gleich wieder (wohl weil der RADIUS-Server nicht geht).
Das Stand im Log des APs, das die MAC-Adresse sich im AP eingeloggt hat.
Wo versuchst du denn das Zert zu registrieren?
Ich mache das über Start > Ausführen > mmc, Snap-In hinzufügen, Zertifikate lokaler Computer, Gruppe Eigene Zertifikate, dann Rechtsklick neues Zertifikat anfordern. Dort findest du auch alle Zertifikate die dein Computer bereits hat und kannst sie löschen.
Ich mache das über Start > Ausführen > mmc, Snap-In hinzufügen, Zertifikate lokaler Computer, Gruppe Eigene Zertifikate, dann Rechtsklick neues Zertifikat anfordern. Dort findest du auch alle Zertifikate die dein Computer bereits hat und kannst sie löschen.
Zitat von @rzlbrnft:
Wo versuchst du denn das Zert zu registrieren?
Ich mache das über Start > Ausführen > mmc, Snap-In hinzufügen, Zertifikate lokaler Computer, Gruppe Eigene Zertifikate, dann Rechtsklick neues Zertifikat anfordern. Dort findest du auch alle Zertifikate die dein Computer bereits hat und kannst sie löschen.
Wo versuchst du denn das Zert zu registrieren?
Ich mache das über Start > Ausführen > mmc, Snap-In hinzufügen, Zertifikate lokaler Computer, Gruppe Eigene Zertifikate, dann Rechtsklick neues Zertifikat anfordern. Dort findest du auch alle Zertifikate die dein Computer bereits hat und kannst sie löschen.
Ja so wie du auch in der mmc unter Zertifikate. Beim Anfordern habe ich jedoch nur folgende zur Auswahl stehen: Basis-EFZ und Benutzer.
Das "Computer"-Zertifikat steht nur zur Auswahl bereit.
Wo kann ich einstellen, dass das Computer-Zertifikat von Clients bezogen werden kann?
Habe mal die Registerkarte "Sicherheit" von der Computer-Zertifikatvorlage und der Basis-EFZ-Zertifikatvorlage verglichen. Bei Basis-EFS Zertifikat ist die Domänen-Benutzer dazu berechtigt Registrierungen durchzuführen. Ich nehme mal an damit ist gemeint, eine Zertifikat-Anforderung für das jenige Zertifikat zu machen. Jedoch kann ich das Computer-Zertifikat trotzdem nicht registieren obwohl ich unter Sicherheit die Domänen-Benutzer das Recht gegeben habe zu registieren. Jedoch ist berechtigt, dass Domänen-Computer Zertifikate registrieren dürfen. Also müssen Domänen-Benutzer beim Computer-Zertifikat keine Zertifikate registrieren dürfen?
Was soll ich tun? Wenn ich versuche das Basis EFS Zertifikat zu registrieren kommt ein RPC-Server nicht erreichbar. Eventuell wird deswegen das Zertifikat nicht angezeigt? Ich kämpfe seit einiger Zeit mit Kerberos-Problemen.
Das gleiche meldet mein Home Laptop wenn ich nicht im Netz bin. Hört sich für mich an als ob dein Client den DC gar nicht richtig erreicht.
Du solltest erst mal die Ereignis Anzeige am DC und am Client durchforsten und sämtliche gemeldeten Fehler beseitigen, auf eventid.net findest du Fehlerbeschreibungen dazu. Ohne funktionierende Verbindung kann die Zertifikatsregistrierung auf diese Art und Weise nicht klappen.
Evtl. hilft auch Client aus der Domäne entfernen und unter anderem Namen wieder registrieren.
Du solltest erst mal die Ereignis Anzeige am DC und am Client durchforsten und sämtliche gemeldeten Fehler beseitigen, auf eventid.net findest du Fehlerbeschreibungen dazu. Ohne funktionierende Verbindung kann die Zertifikatsregistrierung auf diese Art und Weise nicht klappen.
Evtl. hilft auch Client aus der Domäne entfernen und unter anderem Namen wieder registrieren.
Zitat von @rzlbrnft:
Das gleiche meldet mein Home Laptop wenn ich nicht im Netz bin. Hört sich für mich an als ob dein Client den DC gar nicht richtig erreicht.
Du solltest erst mal die Ereignis Anzeige am DC und am Client durchforsten und sämtliche gemeldeten Fehler beseitigen, auf eventid.net findest du Fehlerbeschreibungen dazu. Ohne funktionierende Verbindung kann die Zertifikatsregistrierung auf diese Art und Weise nicht klappen.
Evtl. hilft auch Client aus der Domäne entfernen und unter anderem Namen wieder registrieren.
Das gleiche meldet mein Home Laptop wenn ich nicht im Netz bin. Hört sich für mich an als ob dein Client den DC gar nicht richtig erreicht.
Du solltest erst mal die Ereignis Anzeige am DC und am Client durchforsten und sämtliche gemeldeten Fehler beseitigen, auf eventid.net findest du Fehlerbeschreibungen dazu. Ohne funktionierende Verbindung kann die Zertifikatsregistrierung auf diese Art und Weise nicht klappen.
Evtl. hilft auch Client aus der Domäne entfernen und unter anderem Namen wieder registrieren.
Ja, mein Laptop kann den DC erreichen mittels Ping. Zudem wird der Account gesperrt wenn ich mich bei Windows anmelden will und ich das Passwort mehrmals falsch eingebe. Somit funktioniert die Kommunikation. Wenn ich den Account im AD wieder entsperre kann ich mich mit dem Laptop und dem Account sofort wieder anmelden unter Windows.
Wie stelle ich den überhaupt ein, dass das Computer-Zertifikat vom Laptop registriert werden kann? Die Seite eventid.net hilft mir leider nicht viel weiter. Zudem ist alles in englisch. Ich denke, das Kerberos-Problem hängt mit dem RPC-Server nicht erreichbar zusammen? Oder wie siehst du das? Bevor Kerberos noch ging, kam diese Fehlermeldung bezüglich "RPC-Server nicht erreichbar" glaube nicht.
Zudem ist alles in englisch.
Die Standardsprache in der IT die man zumindestens etwas beherrschen sollte wenn man in dem Metier arbeitet (oder bastelt) !!
Um rauszufinden warum Kerberos nicht geht sind nicht genügend Infos vorhanden. Ohne gehts jedenfalls nicht und Ping sagt in den seltensten Fällen etwas aus. Es gibt tausende Ports und Dienste nur weil einer geht muss der andere noch lang nicht gehen.
Zitat von @aqui:
Zudem ist alles in englisch.
Die Standardsprache in der IT die man zumindestens etwas beherrschen sollte wenn man in dem Metier arbeitet (oder bastelt) !!Etwas englisch kann ich ja aber komplizierte IT-Themen die in deutscher Sprache schon schwierig zum Verstehen sind. Die IT ist schon genug kompliziert und dann noch alles in englisch
Das macht es mir noch schwerer als es schon ist um eine Lösung zu finden.Zitat von @rzlbrnft:
Um rauszufinden warum Kerberos nicht geht sind nicht genügend Infos vorhanden. Ohne gehts jedenfalls nicht und Ping sagt in den seltensten Fällen etwas aus. Es gibt tausende Ports und Dienste nur weil einer geht muss der andere noch lang nicht gehen.
Um rauszufinden warum Kerberos nicht geht sind nicht genügend Infos vorhanden. Ohne gehts jedenfalls nicht und Ping sagt in den seltensten Fällen etwas aus. Es gibt tausende Ports und Dienste nur weil einer geht muss der andere noch lang nicht gehen.
Dann kann ich lange versuchen. So wie es aussieht hat Kerberos irgendein Problem, alles fing mit dem Verfl winRM an das aufeinmal nicht mehr ging.
Solltest du Kerberos kennen hier der Fehler:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "testsrv3$" empfangen. Der verwendete Zielname war DNS/testsrv3.deb.test. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DEB.TEST) von der Clientdomäne (DEB.TEST) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.
Was ich noch herausgefunden habe der Dienst "KPSSVC" Anzeigename: "KDC-Proxyserverdienst (KPS)" welcher von Kerberos gebraucht wird funktioniert nicht bzw. kann nicht gestartet werden mit dem Fehler, "Fehler 5 - Zugriff verweigert". Komischerweise lässt sich der Dienst auch auf dem HyperV-Server auch nicht starten also auf meinen beiden DCs selbe Fehlermeldung.
Der Dienst Kerberos-Schlüsselverteilungscenter hingegen läuft. Ich weiss doch nichteinmal ob Kerberos funktioniert bzw. richtig funktioniert. Fakt ist winRM geht nicht, die obengenannte Fehlermeldung kommt und ein Dienst lässt sich nicht starten. Jedoch bei Eingabe von "klist" in PowerShell werden einige Kerberos-Ticket angezeigt sowie ich das Verstehe läuft also Kerberos doch sonst wären keine Kerberos-Tickets gecacht? Hoffe, du bist ein Kerberos-Experte
Muss wohl neu installieren.
Habe nun den einen Dc neu installiert und winRM geht wieder sowie das Kerberos Problem ist gelöst.
Wie aber konfiguriere ich nun den RADIUS-Srver das dieser auch geht?
Wenn ich unter Zertifikate gehe -> Eigene Zertifikate -> Alle aufgaben -> Zertifikat anfordern
Kann ich dort nur EFS-Basis und Benutzer anwählen nicht aber das für Radius erstellte Zertifikatvorlage (computer_deb). Wenn ich auf alle "Vorlagen anzeigen" gehe taucht das erstellte Zertifikat auf jedoch ist es nicht auswählbar wie hier auch schon auf dem Screen ersichtlich ist:
Was muss ich tun?
Ich habe die Zertifikatvorlage "computer_deb" unter der Register "Sicherheit" bei Authentifizierte Benutzer alle Rechte gegeben jedoch kann ich es immer noch nicht auswählen.
Also die Verbindung zum Access Point geht schon mal! Wenn ich mich auf den Access Point mit Radius verbinde stellt er die Verbindung her, verliert die Verbindung dann aber wieder, wohl weil das Zertifikat wohl fehlt. Auch das Login-Feld kommt nicht wo ich mich mit den Zugangsdaten authentifizieren muss. Wenn ich beim SSID des Radius unter Eigenschaften schaue ist dort WPA-Enterprise ausgwählt eigentlich müsste doch da das Login-Feld kommen?
Hoffe ich kann mit eurer Hilfe das Problem endlich lösen.
Wie aber konfiguriere ich nun den RADIUS-Srver das dieser auch geht?
Wenn ich unter Zertifikate gehe -> Eigene Zertifikate -> Alle aufgaben -> Zertifikat anfordern
Kann ich dort nur EFS-Basis und Benutzer anwählen nicht aber das für Radius erstellte Zertifikatvorlage (computer_deb). Wenn ich auf alle "Vorlagen anzeigen" gehe taucht das erstellte Zertifikat auf jedoch ist es nicht auswählbar wie hier auch schon auf dem Screen ersichtlich ist:
Was muss ich tun?
Ich habe die Zertifikatvorlage "computer_deb" unter der Register "Sicherheit" bei Authentifizierte Benutzer alle Rechte gegeben jedoch kann ich es immer noch nicht auswählen.
Also die Verbindung zum Access Point geht schon mal! Wenn ich mich auf den Access Point mit Radius verbinde stellt er die Verbindung her, verliert die Verbindung dann aber wieder, wohl weil das Zertifikat wohl fehlt. Auch das Login-Feld kommt nicht wo ich mich mit den Zugangsdaten authentifizieren muss. Wenn ich beim SSID des Radius unter Eigenschaften schaue ist dort WPA-Enterprise ausgwählt eigentlich müsste doch da das Login-Feld kommen?
Hoffe ich kann mit eurer Hilfe das Problem endlich lösen.
Kenn ich schon hat nicht geklappt dazu sagte man mir es sei die falsche Anleitung. Benötige mehr hilfe.
Zudem ist alles eingerichtet nur gehts nicht. Die Frage ist nun was das Problem ist dazu suche ich einen RADIUS experten der das schon mehrmals eingerichtet hat.
Zudem ist alles eingerichtet nur gehts nicht. Die Frage ist nun was das Problem ist dazu suche ich einen RADIUS experten der das schon mehrmals eingerichtet hat.
Mir kam noch in den Sinn die Evetlogs zu gucken siehe da:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEB\test-acc01
Kontoname: DEB\test-acc01
Kontodomäne: DEB
Vollqualifizierter Kontoname: deb.test/Users/test-acc01
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 4C-9E-FF-73-18-42:deb_wlan_lab-RADIUS
Anrufer-ID: 00-23-4D-97-F6-97
NAS:
NAS-IPv4-Adresse: 192.168.0.4
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: deb-lab-ap-01
Client-IP-Adresse: 192.168.0.4
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN-RADIUS
Netzwerkrichtlinienname: Verbindungen mit anderen Zugriffsservern
Authentifizierungsanbieter: Windows
Authentifizierungsserver: testsrv2.deb.test
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 65
Ursache: Die Einstellung "Netzwerkzugriffsberechtigung" in den Einwähleinstellungen des Benutzerkontos in Active Directory ist so festgelegt, dass dem Benutzer der Zugriff verweigert wird. Zum Ändern der Einstellung "Netzwerkzugriffsberechtigung" in "Zugriff zulassen" oder "Zugriff über NPS-Netzwerkrichtlinien steuern" fordern Sie die Eigenschaften des Benutzerkontos in Active Directory-Benutzer und -Computer an, klicken Sie auf die Registerkarte "Einwählen", und ändern Sie "Netzwerkzugriffsberechtigung".
Habe ich so angepasst wie geschrieben, jedoch wenn die Einstellung -> "Über NPS-Netzwerkrichtlinie steuern" anwähle weshalb wird der zugriff verweigert? Nun nachdem ich die Änderungen gemacht habe nächster Fehler:
Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEB\test-acc01
Kontoname: DEB\test-acc01
Kontodomäne: DEB
Vollqualifizierter Kontoname: deb.test/Users/test-acc01
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 4C-9E-FF-73-18-42:deb_wlan_lab-RADIUS
Anrufer-ID: 00-23-4D-97-F6-97
NAS:
NAS-IPv4-Adresse: 192.168.0.4
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: deb-lab-ap-01
Client-IP-Adresse: 192.168.0.4
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN-RADIUS
Netzwerkrichtlinienname: Verbindungen mit anderen Zugriffsservern
Authentifizierungsanbieter: Windows
Authentifizierungsserver: testsrv2.deb.test
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 65
Ursache: Die Einstellung "Netzwerkzugriffsberechtigung" in den Einwähleinstellungen des Benutzerkontos in Active Directory ist so festgelegt, dass dem Benutzer der Zugriff verweigert wird. Zum Ändern der Einstellung "Netzwerkzugriffsberechtigung" in "Zugriff zulassen" oder "Zugriff über NPS-Netzwerkrichtlinien steuern" fordern Sie die Eigenschaften des Benutzerkontos in Active Directory-Benutzer und -Computer an, klicken Sie auf die Registerkarte "Einwählen", und ändern Sie "Netzwerkzugriffsberechtigung".
Habe ich so angepasst wie geschrieben, jedoch wenn die Einstellung -> "Über NPS-Netzwerkrichtlinie steuern" anwähle weshalb wird der zugriff verweigert? Nun nachdem ich die Änderungen gemacht habe nächster Fehler:
Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.
In dem Screenshot sieht man eigentlich was alles aktiviert werden muss.
Das Zert muss halt passen sonst verwendet er die Richtlinie nicht.
Dazu hast du ja scheinbar einen neuen Thread eröffnet.
Das Zert muss halt passen sonst verwendet er die Richtlinie nicht.
Dazu hast du ja scheinbar einen neuen Thread eröffnet.
