Wir richten in unserem Netzwerk gerade Radius ein, ein Wunsch, den ich schon lange hege. Allein es fehlte immer die Zeit.
Freeradius ist bei uns das Mittel der Wahl, das System läuft als um einige configure-Schalter angepasstes Debian-Paket unter Etch und nach ein wenig Bastelei arbeitet der Service nun zuverlässig über NTLM und LDAP auch mit den Windows-Clients im Hause zusammen.
Einzig die Windows 2000-Clients stellen sich wieder einmal quer. Nach einem kleinen Stolperstein, den es erst einmal zu finden galt, melden sich die Clients beim Hochfahren nun brav mit ihrem Computer-Konto beim Switch. Authentifizierung sowie VLAN-Zuordnung klappen so auch wie gewünscht.
Angestrebt ist aber eigentlich eine Benutzerauthentifizierung über 802.1x. Nur diese erfolgt nun logischerweise nach der Rechner-Anmeldung nicht mehr, für den Switch ist das System ja bereits korrekt angemeldet.
Nimmt man die Rechner-Anmeldung aus der Client-Konfiguration heraus, und trägt am Client seine Domänen-Anmeldung ein, bekommt man nur ein lapidares: “Die Domäne ist zur Zeit nicht verfügbar”.
Anscheinend versucht der Windows-Client erst die Domänen-Anmeldung, bevor er sich beim Switch um eine VLAN-Zuweisung bemühen möchte, um überhaupt Zugriff auf das LAN zu bekommen.
Sehr logisch.
Windows XP macht das wiederum richtig, Microsoft hat den Fehler dort wohl erkannt und ausgebügelt. Warum es keinen Patch für Windows 2000 gibt, ist mir schleierhaft.
Alle Suchmaschinenquälerei war bislang umsonst, es scheint fast so, als wären wir die einzigen auf diesem Planeten, die mit dem Problem zu kämpfen haben.
Oder wir sind einfach zu doof. Wer mir also einen kleinen Tipp geben kann, der sei hiermit dazu herzlich aufgerufen… Dankeschön.
Hallo Stefan,
ich bin mir ziemlich sicher, dass Windows XP bzw. Windows 2000 nicht unterschiedlich reagieren. Ich vermute eher, dass die Anmeldedaten beim Windows XP Clienten zwischengespeichert waren und bei Windows 2000 Clienten zufälligerweise nicht.
Meine Kollegen und ich arbeiten in der Firma gerade am gleichen Projekt wie du, genau mit den gleichen Features, außer das wir nicht übers Computer-Konto gehen, sondern über die Benutzeranmeldung.
Dein Switch muss einfach die Domänenanmeldungen deiner Clienten durchlassen und nur alles andere blockieren. Dann dürfte dein Problem gelöst sein.
Für weiteren Erfahrungsaustausch darfst du mich gerne über Email kontaktieren.
Gruß
iwier
Schade, dies Thema scheint doch wohl nicht so wichtig und dringend zu sein.
Ist hier doch wohl mehr ein Blog für Selbstgespräche.
Frohe Weihnachten
Gruß
iwier
@iwier: Wir haben mit MS gesprochen. Die von uns gewünschte Vorgehensweise lässt sich (sowohl unter W2k als auch unter XP) nur über eine Drittanbieter-Software realisieren.
Die Anmeldedaten an den Arbeitsplätzen zwischenzuspeichern ist bei uns nicht praktikabel, weil wir sehr viele Benutzer haben, die sich an vielen unterschiedlichen Arbeitsplätzen anmelden. Und somit müssten wir jeden neuen PC erst “trainieren”, bevor wir Radius aktivieren könnten.
Wir werden daher unsere Clients vorerst weiterhin mit dem Computer-Konto authentifizieren lassen.
Und iwier: nur, weil nicht asap jemand eine Antwort zu Deinem Kommentar postet, ist es noch lange kein “Blog für Selbstgespräche”…
Ich bin dankbar für Anregungen und prüfe natürlich, inwieweit diese sich umsetzen lassen. Auch der Erfahrungsaustausch ist mir wichtig, das bringt i.d.R. jeden weiter.
Auch Dir wünsche ich ein frohes Weihnachtsfest.
Gruß
Stefan