Zum Inhalt springen

RADIUS (NPS) - Access denied


Empfohlene Beiträge

Geschrieben

Hallo Forum!

Ich bin momentan dabei, an meinem Abschlussprojekt zu arbeiten. 

Mein Projekt ist das Aufsetzen eines RADIUS Servers (nur LAN) innerhalb einer Testumgebung. Als Authentifizierung wird der (Test)AD benutzt. 
Zum Anfang ein paar Infos:

- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08 (fungiert als Authenticator)
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)

Der RADIUS Server wurde anhand folgender Anleitung installiert:
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps

D.h. Switch etc. wurde auch entsprechend konfiguriert. Am Client wurde ebenso (siehe Tutorial oben) der Dienst "automatische Konfiguration (verkabelt)" aktiviert. 

Nun zum eigentlichen:
Beim anschließen des LAN Kabels an dem Laptop kommt wie erwartet das Anmeldefenster auf (ich habe die Hintergrund-Authentifizierung vor erst mal ausgestellt). Danach gebe ich die Anmeldedaten des Domain-Users ein (dieser ist auch in der RADIUS richtlinie mit drin). Danach kommt sofort die Meldung am LAN Adapter "authentifiziernug fehlgeschlagen" NPS auf dem Server Manager zeigt leider auch wirklich gar keine Logs an.

Habe anschließend mal Wireshark auf dem Server installiert und geschaut. Es kommt wie erwartet eine Request, Challenge aber leider dann ein Access Denied. 
Kennt sich jemand aus und möchte mal über das Wireshark-Log schauen? 

https://www.file-upload.net/download-13529223/RADIUS.pcapng.html
... oder Pastebin.....
https://pastebin.com/1UJ3d754



Server: 192.168.1.1
Switch 192.168.1.50
Client: 192.168.1.51 (dieser bekommt aber dadurch, dass er sich nicht mit dem Server verbinden kann, eine APIPA adresse) 


Viel Vorwissen habe ich leider nicht dies bzgl. und es ist auch meine erste Einrichtung. Also sind irgendwelche blöden Fehler nicht auszuschließen.

Ich bedanke mich im voraus!

Geschrieben

Erstmal...
Du Unterschreibst am Ende dafür, dass du das Projekt ohne Hilfe von außen gemacht hast.

Daher nur eine Anmerkung:

vor 4 Stunden schrieb Dave57:

Client: 192.168.1.51 (dieser bekommt aber dadurch, dass er sich nicht mit dem Server verbinden kann, eine APIPA adresse) 

Nein. APIPA hat den Adressraum 169.254.XXX.XXX.

Geschrieben
vor 10 Minuten schrieb RubberDog:

Erstmal...
Du Unterschreibst am Ende dafür, dass du das Projekt ohne Hilfe von außen gemacht hast.

Daher nur eine Anmerkung:

Nein. APIPA hat den Adressraum 169.254.XXX.XXX.

Ich hatte auch niemals gesagt, dass 192.168.1.51 eine APIPA Adresse ist. Der Laptop bekommt ein Access Denied, dementsprechend holt er sich eine APIPA Adresse da er kein Zugriff auf dem DHCP Server hat, das meinte ich. 

Außerdem erwarte ich nicht, dass du das gesamte Projekt für mich machst. Ich mache lediglich recherche und werde dies natürlich als auch Quellen angaben miteinbeziehen. Verstehe ich nicht.

Kannst Du mir nicht einen Tipp geben? 

Geschrieben
vor 27 Minuten schrieb Dave57:

Außerdem erwarte ich nicht, dass du das gesamte Projekt für mich machst. Ich mache lediglich recherche und werde dies natürlich als auch Quellen angaben miteinbeziehen. Verstehe ich nicht.

Du läufst Gefahr, dass du deswegen durchfällst, falls das raus kommt. Deswegen ist man hier normalerweise nicht gewillt, bei solchen Dingen zu unterstützen

Geschrieben

Habe das Problem gefunden und behoben. Jetzt funktioniert es.

Beim erstellen der NPS Rirchtlinie hatte ich das davor erstelle NPS Zertifikat nicht der Richtlinie hinzugefügt... Außerdem wurde das EAP-MSCHAP v2 Protokoll ausgewählt (damit hat es nicht funktioniert) erst beim auswählen des richtigen Protokolles EAP(PEAP) konnte ich das NPS Zertifikat auswählen und es hat funktioniert.

Mal eine Frage:

Im Wireshark Protokoll verstehe ich nur Bahnhof, falls sich jemand mein angehongenes Protokoll mal angeschaut hat, war der oben genannte Fehler im Log ersichtlich? 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...