Discussion:
PEAP with Domain Credentials
(too old to reply)
D K
2008-06-30 14:16:37 UTC
Permalink
Hi all,
i would configure WLAN authentication with PEAP / MsChapV2
after configuring this without "send my windows-username and password..."
this works fine but i must type in my username and password.
within the IAS log i see - Authentication-Type = PEAP
after checking the "send my windows-username and password..." checkbox i
dont have to type in my credentials - but i become an "bad username or
password" error.
within the IAS log i see - Authentication-Type = EAP
and i have no matching authentication rule within the IAS.

any ideas
THANKS
Dirk
S. Pidgorny <MVP>
2008-07-02 09:29:48 UTC
Permalink
Is the computer member of the domain. Can you provide the system log entry
for the failed logon attempt?
--
Svyatoslav Pidgorny, MS MVP - Security, MCSE
-= F1 is the key =-

* http://sl.mvps.org * http://msmvps.com/blogs/sp *
Post by D K
Hi all,
i would configure WLAN authentication with PEAP / MsChapV2
after configuring this without "send my windows-username and password..."
this works fine but i must type in my username and password.
within the IAS log i see - Authentication-Type = PEAP
after checking the "send my windows-username and password..." checkbox i
dont have to type in my credentials - but i become an "bad username or
password" error.
within the IAS log i see - Authentication-Type = EAP
and i have no matching authentication rule within the IAS.
any ideas
THANKS
Dirk
D K
2008-07-07 07:45:06 UTC
Permalink
Hi
here are the system-logs for the two different situations.
The Computer is member of the domain.
The groups "domain-computer" and "domain-users" are alowed to access WLAN.
The users "buc" and "test" are domain-users.
Thanks Dirk

1. with maual credential input:
Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 20.06.2008
Zeit: 13:40:57
Benutzer: Nicht zutreffend
Computer: NODE1
Beschreibung:
Benutzer "mydom\TEST" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = mydom.local/Benutzer/EDV/Test
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
Kennung der Anruferstation = 00-1C-BF-C5-A0-BC
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN-Zugriff
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

2. with "send my windows-username and password..." checked
Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 20.06.2008
Zeit: 14:15:09
Benutzer: Nicht zutreffend
Computer: NODE1
Beschreibung:
Benutzer "mydom\buc" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = mydom\buc
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Kennung der Anrufstation = 00-1F-C9-66-F6-E0:egal
Kennung der Empfängerstation = 00-1C-BF-C5-A0-BC
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = EAP
EAP-Typ = <unbestimmt>
Code = 48
Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

....
Post by S. Pidgorny <MVP>
Is the computer member of the domain. Can you provide the system log entry
for the failed logon attempt?
--
Svyatoslav Pidgorny, MS MVP - Security, MCSE
-= F1 is the key =-
* http://sl.mvps.org * http://msmvps.com/blogs/sp *
Post by D K
Hi all,
i would configure WLAN authentication with PEAP / MsChapV2
after configuring this without "send my windows-username and password..."
this works fine but i must type in my username and password.
within the IAS log i see - Authentication-Type = PEAP
after checking the "send my windows-username and password..." checkbox i
dont have to type in my credentials - but i become an "bad username or
password" error.
within the IAS log i see - Authentication-Type = EAP
and i have no matching authentication rule within the IAS.
any ideas
THANKS
Dirk
MadPAM
2008-07-10 12:56:01 UTC
Permalink
Hallo Dirk,
the message "Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie
überein." seems to point into the authmode direction. Because you may have a
Policy only for user and not computers.
You should set the authmode on your client to "user". That way only your
user credentials are used to authenticate.
On XP SP2 this is done in the registry, with XP SP3 via XML files or group
policy (after schema extension).
Viel Glück
MadPAM
Post by D K
Hi
here are the system-logs for the two different situations.
The Computer is member of the domain.
The groups "domain-computer" and "domain-users" are alowed to access WLAN.
The users "buc" and "test" are domain-users.
Thanks Dirk
Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 20.06.2008
Zeit: 13:40:57
Benutzer: Nicht zutreffend
Computer: NODE1
Benutzer "mydom\TEST" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = mydom.local/Benutzer/EDV/Test
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
Kennung der Anruferstation = 00-1C-BF-C5-A0-BC
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN-Zugriff
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
0000: 00 00 00 00 ....
2. with "send my windows-username and password..." checked
Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 20.06.2008
Zeit: 14:15:09
Benutzer: Nicht zutreffend
Computer: NODE1
Benutzer "mydom\buc" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = mydom\buc
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Kennung der Anrufstation = 00-1F-C9-66-F6-E0:egal
Kennung der Empfängerstation = 00-1C-BF-C5-A0-BC
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = EAP
EAP-Typ = <unbestimmt>
Code = 48
Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
0000: 00 00 00 00 ....
....
Post by S. Pidgorny <MVP>
Is the computer member of the domain. Can you provide the system log entry
for the failed logon attempt?
--
Svyatoslav Pidgorny, MS MVP - Security, MCSE
-= F1 is the key =-
* http://sl.mvps.org * http://msmvps.com/blogs/sp *
Post by D K
Hi all,
i would configure WLAN authentication with PEAP / MsChapV2
after configuring this without "send my windows-username and password..."
this works fine but i must type in my username and password.
within the IAS log i see - Authentication-Type = PEAP
after checking the "send my windows-username and password..." checkbox i
dont have to type in my credentials - but i become an "bad username or
password" error.
within the IAS log i see - Authentication-Type = EAP
and i have no matching authentication rule within the IAS.
any ideas
THANKS
Dirk
Loading...