RADIUS/VLAN icm prelogon wil niet werken

Ik heb via Cisco wireless AP 1131 ook laten authentiseren via IAS. Dit werkt perfect.
Mensen loggen in via het domein en heb ze laten authentiseren op gebruikersnaam in active directory.

Wat geeft je logboek van je server weer?

[ Voor 18% gewijzigd door winux op 27-02-2007 16:00 ]

winux schreef op dinsdag 27 februari 2007 @ 15:50:
Ik heb via Cisco wireless AP 1131 ook laten authentiseren via IAS. Dit werkt perfect.
Mensen loggen in via het domein en heb ze laten authentiseren op gebruikersnaam in active directory.

Wat geeft je logboek van je server weer?

Hi, ik ben degene die hier mee bezig is (kimjansen is collega)

De authentication gaat verder prima, alleen tijdens aanmelden gaat hij met user re-authenticatie naar de radius server toe. Daarna komt de pc in ander VLAN / ander IP range. dus vindt er opnieuw DHCP request plaats

Op dat moment verliest de PC tijdelijk de netwerk verbinding, met als gevolgd dat Login script en GPO niet meer toegepast worden.

Voor zover ik kan beoordelen, gebruik je de ingebouwde 802.1X supplicant (Windows XP?). Het probleem wat je beschrijft is bekend met die supplicant.

Windows logged aan met het machine account en word in een VLAN geplaatst. Als een gebruiker inlogt, dan gaat dit nog over dat VLAN, echter zogauw dat goed gaat, wordt er een her-authenticatie gedaan via 802.1X. Er wordt tevens een DHCP renew gedaan. Als de gebruiker in een ander VLAN wordt geplaatst, dan duurt het verkrijgen van een nieuw IP adres "een tijdje". Windows wacht echter niet met de rest van de inlog procedure en timed out op dingen zoals roaming profile, login script and GPO's (is niet altijd consistent wat wel en niet wordt geladen).

De twee oplossingen die er zijn:

1) Plaats de gebruiker in hetzelfde VLAN als de Machine. Dit is niet altijd wenselijk met beveiliging.

2) Gebruik een andere 802.1X supplicant. Bekende zijn de Funk Oddyssey supplicant (overgenomen door Juniper) en de Meetinghouse supplicant (overgenomen door Cisco). (kost geld)

Deze 3rd party supplicants werken wel goed doordat ze na de Windows authenticatie van de gebruiker de 802.1X authenticatie starten en op dat moment de login procedure van Windows "stilzetten" totdat ze in een ander VLAN zitten en een nieuw IP adres hebben. Pas dan geven ze de controle terug aan de inlog procedure.

Microsoft weet dat hun supplicant niet goed werkt. Er gaat dan ook een nieuwe supplicant uitkomen. Ik heb de supplicant van de Longhorn beta getest en die werkt naar behoren.
Er is ook een beta (ik weet niet of die publieklijk beschikbaar is) voor de NAP client, die de nieuwe supplicant ingebouwd heeft.

kell.nl schreef op donderdag 01 maart 2007 @ 08:58:
Voor zover ik kan beoordelen, gebruik je de ingebouwde 802.1X supplicant (Windows XP?). Het probleem wat je beschrijft is bekend met die supplicant.

Windows logged aan met het machine account en word in een VLAN geplaatst. Als een gebruiker inlogt, dan gaat dit nog over dat VLAN, echter zogauw dat goed gaat, wordt er een her-authenticatie gedaan via 802.1X. Er wordt tevens een DHCP renew gedaan. Als de gebruiker in een ander VLAN wordt geplaatst, dan duurt het verkrijgen van een nieuw IP adres "een tijdje". Windows wacht echter niet met de rest van de inlog procedure en timed out op dingen zoals roaming profile, login script and GPO's (is niet altijd consistent wat wel en niet wordt geladen).

De twee oplossingen die er zijn:

1) Plaats de gebruiker in hetzelfde VLAN als de Machine. Dit is niet altijd wenselijk met beveiliging.

2) Gebruik een andere 802.1X supplicant. Bekende zijn de Funk Oddyssey supplicant (overgenomen door Juniper) en de Meetinghouse supplicant (overgenomen door Cisco). (kost geld)

Deze 3rd party supplicants werken wel goed doordat ze na de Windows authenticatie van de gebruiker de 802.1X authenticatie starten en op dat moment de login procedure van Windows "stilzetten" totdat ze in een ander VLAN zitten en een nieuw IP adres hebben. Pas dan geven ze de controle terug aan de inlog procedure.

Microsoft weet dat hun supplicant niet goed werkt. Er gaat dan ook een nieuwe supplicant uitkomen. Ik heb de supplicant van de Longhorn beta getest en die werkt naar behoren.
Er is ook een beta (ik weet niet of die publieklijk beschikbaar is) voor de NAP client, die de nieuwe supplicant ingebouwd heeft.

Hi, dit verhaal klopt idd, heb een service request bij MS aangemaakt. En hun vertelden mij dat switchen tussen vlan's gewoon niet mogelijk is met windows XP (werkt wel uiteraard maar probleem onstaat zoals boven beschreven), en dat ze dat ook niet gaan herprogrammeren voor XP.

Voor Vista werkt het idd wel.

Voor nu gebruik ik alleen computer authentication die dan per pc in juiste vlan gezet wordt.
Enige probleem waar ik nu tegenaan loop is dat de wlan policy nadat ik met andere user inlog kwijt is. ook event id 1030 en 1058 worden gelogged op de clients.

De hele config van wireless is dan verdwenen totdat ik de laptop met kabel aansluiten en gpupdate /force uitvoer.