Radius op Windows 2000

Ik heb hier op een Windows 2000 Server incl. Sp4 een radius server geinstalleerd ( via de handleiding van http://www.hansenonline.net/Networking/wlanradius.html )
en deze laten registreren met active directory.
Tevens is deze Server een DNS en DHCP server.

Ik heb ook een certificaat server geinstalleerd en een certificaat aangemaakt voor radius.
Hier hangt een Linksys WRT54GS Wireless router aan.

ik probeer nu via een client (laptop) verbinding te krijgen met de server.

Er gaat alleen het 1 en ander niet goed.

Windows XP sp2 lijkt het certificaat wel te krijgen want ik krijg een dialoog venster of ik het certificaat wil accepteren. Zodra ik het certificaat accepteer krijg ik naar enkele seconden weer het dialoog venster.

Ik heb GOT en Google al helemaal uitgepluist ik heb alleen niks bruikbaars kunnen vinden.
Ik heb het volgende al geprobeert:

- Andere laptop.
- Windows 2000 Server herinstallatie
- ander certificaat
- Diverse settings aanpassen met betrekking tot PEAP
- Met Etherreal gekeken of er aan de server kan wat mis ging met de packets


Diverse sites die ik heb uitgepluist:

http://www.hansenonline.net/Networking/wlan-gpo.html
http://www.aspfree.com/c/...LAN-Connections-Part-2/4/
http://beveiliging.surfnet.nl/info/attachment.db?49369
http://www.zyxel.nl/support/a004.html
http://www.mcse.ms/message878370.html
http://support.microsoft.com/?kbid=815485
http://support.microsoft....aspx?scid=kb;en-us;295663

Wie kan mij helpen? zie ik iets over het hoofd?


Alvast Bedankt.

Dat is het leuke. ik krijg geen foutmeldingen.
Het log zegt niks, wel als ik expres wat verkeerd instel.
Ook het log van windows zelf zegt niks.

De client heeft het certificaat geinstalleerd. ik heb ook aangegeven welk certificaat hij moet gebruiken.

Ik heb een Enterpice certificaat geinstalleerd

Hij blijft gewoon constant hangen op " poging tot verificatie" aan de client kant

[ Voor 13% gewijzigd door Speedfightserv op 09-05-2006 13:10 ]

Een probleem met het certificaat lijkt opgelost.

ik krijg alleen nu de melding in het log dat er een "bad username or password" is.
Terwijl dit 100% klopt. heb zelf het wachtwoord gereset om te checken of het echt klopt.

Zit er ergens iets in een policy dat er een bepaalde lengte van het wachtwoord ergens moet zitten?

melding:

User TESTING\inloggen was denied access.
Fully-Qualified-User-Name = testing.nl/Users/inloggen
NAS-IP-Address = 192.168.1.1
NAS-Identifier = 0014bfbb41d1
Called-Station-Identifier = 0014bfbb41d1
Calling-Station-Identifier = 0004237dc273
Client-Friendly-Name = WRT54GSV4
Client-IP-Address = 192.168.1.1
NAS-Port-Type = 19
NAS-Port = 12
Policy-Name = Wireless
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = There was an authentication failure because of an unknown user name or a bad password.

[ Voor 51% gewijzigd door Speedfightserv op 09-05-2006 14:20 ]

Helaas zonder opgaaf van domein werkt het ook niet.

ik heb ook geprobeert om in te loggen met testing\inloggen + wachtwoord. Dit mocht ook niet baten.

Alvast Bedankt

ja het account heeft rechten genoeg (ook doormiddel van een group). ook Dial in - Control acces trough Remote Access Policy rechten

Alvast Bedankt

Abom schreef op dinsdag 09 mei 2006 @ 15:55:
[...]


Wanneer ik even door mn event logs browse, zie ik bij mij melden in de vorm van ' User <username> was denied access' en 'User <username> was granted access'. Zonder <domain>\ er voor.

Probeer het eens met alleen de gebruikersnaam en niet <domain>\<username>.

Heb jij mischien de mogelijkheid om wat screenshots te maken van wat algemene settings ?
Zodat ik het 1 en ander kan na kijken dat ik niks over het hoofd heb gezien.

Alvast Bedankt

Zijn er mischien nog anderen die mij aan wat screenshots kunnen helpen van jullie eigen radius configuratie?


Alvast Bedankt

ja policy is ingesteld. via de howto van hansen online.

http://www.hansenonline.net/Networking/wlan-gpo.html

ik had een ander document van microsoft gevonden, Deze had ik nog niet gezien.ik zal hem eens doorkijken bedankt voor de tip!

[ Voor 15% gewijzigd door Speedfightserv op 16-05-2006 12:43 ]

Is het de bedoeling dat iedere gebruiker een eigen certificaat krijgt? of kan ik gewoon 1 certificaat gebruiken?

Heeft er iemand nog ideen van wat dit zou kunnen zijn ?

Alvast Bedankt!

@ bogusje

Heb je het al getest met een andere wifi router?

@sundead.

Aha ok. ga ik dat ook eens proberen

Als ik zonder certificaat, dus alleen via MS CHAP v2. Probeer te connecten wil dit ook niet.
Op de client heb ik dan het controleren van het certificaat uitgezet. Dus gewoon eap chap v2 aan staan. zelf op deze manier kan ik niet connecten ik krijg dan de volgende melding in het ias log: IAS_INVALID_AUTH_TYPE

Terwijl dit toch overeen lijkt te komen.... heb ik hier iets verkeerd ingesteld?

Nee, het werkt nog steeds niet. het is nu zelfs zo dat hij het authencatie protocol niet meer herkent. ik denk dat er iets verkloot is in windows. Ik ga de testserver nu opnnieuw inrichten kijken of ik het daarmee wel goed krijg.

Nee het werkt nog steeds niet. zodra ik 'reversible encryption' instel in een policy herkent hij daarna het authencatie protocol ook niet meer. ook niet als ik 'reversible encryption' uit zet.

Het is echt een vreemd probleem... het zou gewoon moeten werken namelijk..

Ik was windows 2000 server even helemaal zat.
Heb nu windows 2003 entp. geinstalleerd en de zelfde configuratie erin gegooid als op windows 2000 server.

En nu werkt het wel

zou er dan toch een soort bug in windows 2000 server zitten?