Remove From My Forums

Radius-Authentifizierungsproblem

Allgemeine Diskussion
0

Anmelden
Hallo zusammen,

ich habe hier ein merkwürdiges Problem mit meinem Radius-Server + WLAN-Authentifizierung. Im Netz unserer Hauptniederlassung funktioniert alles, auch aus einem anderen per VPN-Tunnel angebundenem Office kann der Accesspoint den Radius-Server kontaktieren und den User am WLAN authentifizieren. Aus einem anderen Branch Office jedoch nicht, obwohl beide Firewalls/Accesspoints identisch konfiguriert sind. Die VPN-Tunnel sind über Watchguards abgebildet, zwischen den Tunnelendpunkten ist alles an Traffic erlaubt und ich sehe auch keine denys.

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:

Security ID: domain\NPC047$

Account Name: host/NPC047.domainc.de

Account Domain: domain

Fully Qualified Account Name: domain\NPC047$

Client Machine:

Security ID: NULL SID

Account Name: -

Fully Qualified Account Name: -

OS-Version: -

Called Station Identifier: 00-90-7F-A1-1E-86:domain

Calling Station Identifier: 00-24-D6-24-31-CA

NAS:

NAS IPv4 Address: -

NAS IPv6 Address: -

NAS Identifier: -

NAS Port-Type: Wireless - IEEE 802.11

NAS Port: 1

RADIUS Client:

Client Friendly Name: WLAN Berlin

Client IP Address: 192.168.52.1

Authentication Details:

Connection Request Policy Name: Secure WLAN

Network Policy Name: -

Authentication Provider: Windows

Authentication Server: dc.domain.de

Authentication Type: EAP

EAP Type: -

Account Session Identifier: -

Logging Results: Accounting information was written to the local log file.

Reason Code: 48

Reason: The connection request did not match any configured network policy.

Es gibt aber natürlich eine Network Policy, in der nur geprüft wird, ob der User in einer bestimmten Gruppe ist. Aber diese Policy wird hier scheinbar gar nicht benutzt. In der Connection policy steht habe ich eingetragen: NAS Port Type Ethernet or Wireless

Der einzige Unterschied zwischen den Standorten: bei dem einen (funktionierenden) Standort ist eine Fritzbox im "DMZ-Modus" vor der Hardware-Firewall mit einem Transfernetz, das alles zur Firewall weiterleitet, bei dem anderen Standort ist es eine Vodafone Easybox, ebenfalls mit DMZ.

Ich habe natürlich zunächst diese Box im Auge gehabt, aber mit einem Radius-Test-Tool (NTradping) kann ich mich problemlos authentifizieren ... also sollte es eigentlich nicht an geblockten Paketen etc. liegen.

Was ich seltsam finde - der Eintrag User:Security ID: domain\NPC047$ ... hier wird kein Username eingetragen, sondern der Hostname des Notebooks.

Danke für euren Input :)

Marcel
- Typ geändert Raul TalmaciuMicrosoft contingent staff Dienstag, 8. April 2014 07:19 Warten auf Feedback
Freitag, 4. April 2014 13:08

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Hallo,

Ich kann Dich hier weiterhelfen, damit müssen wir einen privaten Kommunikationskanal erstellen. Dieser nutzt auch um zusätzliche Informationen zu sammeln. Kannst Du bitte eine E-Mail an dieser E-Mail-Adresse mit Deinem Namen, Deine E-Mail Adresse und Telefonnummer senden, damit wir Dich erreichen können?

Gruss,
Raul

Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip„IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.
- Bearbeitet Raul TalmaciuMicrosoft contingent staff Dienstag, 8. April 2014 07:19
Montag, 7. April 2014 08:48

Antworten

|

Zitieren