iT邦幫忙

0

Windows Server 2008 R2 Radius設定

各位邦友,小弟有一個關於Radius的問題想請教.
我有一台Windows 2008 R2(以加入Domain)安裝了NPS Service,我想在它上面做802.1x的服務, switch每個port必須經過AD帳密認證才可以連網.
我認證的方法是WinXP-->Cisco SG300 Switch--> Radius Server
我在Switch上已經設好Radius的設定,WinXP上我也開啟802.1x的驗證(使用PEAP)
Radius Server也架立一個獨立的 CA Server,也匯入憑證給WinXP.
但WinXP一直認證失敗,我查看Radius Server的Log,一直看到一些網路原則跟連線原則的問題,請問我應該如何去設定這些原則呢?
請各位邦有給小弟一些指教吧,謝謝!

16
raytracy
iT邦大神 1 級 ‧ 2013-09-10 22:44:40
最佳解答

參考 Janus大 的這篇可能會比較快:
UBS-5008 Giga Switch 透過Radius做802.1x的驗證
2008 NPS 的設定要看這篇:
Windows 2008 Server NPS網路原則與存取服務

或是檢查一下 802.1x 的必要條件, 您是否都做了:
Checklist: Configure NPS for 802.1X Authenticating Switch Access

除了您描述的動作之外, 設定中常犯(忘記)的錯誤有:
* 忘了把 AD account 設定成《透過 NPS 存取》
* XP 忘了開啟 Wired-autoconfig (一定要 SP3 以後的版本)
* 憑證中心忘了開 Auto-Enroll
* 忘了設定 NPS 規則
* NPS 規則設定有誤 (沒開 EAP, 沒允許 Authentication IP, 選錯設備類型....)

回上面兩位網友, 樓主要的, 並不是只有控管《要不要上 Internet (WAN)》 而已, 而是要連內網(LAN)也不准陌生人亂插設備上來. 如果只在防火牆上面控制, 那樣只能管到 WAN, 訪客隨便拿一台電腦插進 Switch 任何一孔, 依然可以在內網自由地亂竄, 即使不上了 Internet, 也足以癱瘓公司的內網. 所以需要導入 802.1x, 在 Switch 上面就防堵掉非公司員工亂接設備進來使用.

看更多先前的回應...收起先前的回應...
zuyan iT邦好手 1 級 ‧ 2013-09-11 12:06:38 檢舉

嗯!!~~不過我都在HUB 上做ACL

謝謝raytracy大大幫我回答兩位邦友的疑問,也謝謝大大提供的資訊.
上面這兩篇文章,小弟已經拜讀過了,但還是沒有靈感去解決問題.
我猜想我遇到的問題會有以下兩個:
1.NPS原則的問題,因為他有連線原則和網路原則,請問大大一般都是怎嘛去設定這些原則?
2.憑證的問題,我同事有用windows2003做802.1x認證,他不需要去做憑證的認證,
而我用Windows2008去做一個獨立的CA Server跟NPS,但卻是透過AD的帳號去做認證,是不是這樣才認證不過,NPS認證真的一定需要CA憑證嗎?
想請大大跟各位邦友給小弟一些指教,謝謝!

NPS不一定需要CA
http://januslin.blog.ithome.com.tw/post/1861/83259
這一篇有講需要CA嗎

Radius Server的原理
只做基本驗證的話只會驗證User-Name和Password
大致上分成
EAP和PEAP
密碼部份是
MD5
CHAP
CHAPv2
再加上TLS
MD5是不需要TLS(CA)的
有興確的可以研究一下
http://technet.microsoft.com/zh-tw/library/cc731853.aspx

Cisco預設只有 MD5和PEAP去做認證,假如我用PEAP我就一定要憑證,後來我把AD憑證匯進去之後,就可以了,謝謝邦友的大力幫助,謝謝!

4
kiwiaa
iT邦研究生 3 級 ‧ 2013-09-10 19:23:24

不是很懂為何要經過 Radius 認證再上網
可以將 XP 加入網域 日後當未通過網域登入程序即不派發 IP 給 XP 即可 (Switch 端可配合 R2 AD 認證程序)

kkkajw iT邦新手 3 級 ‧ 2014-02-20 11:33:23 檢舉

請問這個功能需哪些設備或設定可作到?
那如果有不加網域需也需要上網的電腦有辦法嗎?

4
zuyan
iT邦好手 1 級 ‧ 2013-09-10 20:49:12

我也不懂為什麼要在交換器上認證...
不是在防火牆上處理就好了嗎??

我要發表回答

立即登入回答