7
Richtige WPA2-Enterprise Konfiguration am Windows Notebook - Windows Server 2008 mit NPS
Guten Tag erstmal,
ich bin neu hier und hab schon einige Lösungen für meine Probleme hier gefunden, dafür wollte ich mich schonmal bedanken!
Leider habe ich seit einiger Zeit ein Problem bei dem ich auch nach dem 100. probieren und recherchieren nicht "weiterkomme".
Ich habe vor einiger Zeit den Auftrag bekommen das WLAN in unserer Firma aufzubauen.
Natürlich hab ich mich informiert und dann fleißig ausprobiert.
Folgendes habe ich gemacht:
NPS Rolle auf unserem DC installiert
4 Lancom AP's wurden eingekauft, eingerichtet (WPA2-Enterprise etc.) und beim NPS eingetragen.
Der DC hat ein Zertifikat bekommen (wurde manuell eingerichtet, ich durfte keine Zertifikatsstelle installieren) und der NPS wurde in der AD registriert.
Das mit der Zertifizierungsstelle macht mich immer noch bockig, ist der nicht von Nöten damit alles sauber funktioniert oder erneuert er einfach nur das Zertifikat (auf dem DC) automatisch?
Jedenfalls sieht es jetzt so aus:
Alle Tablets und Handys können (vollautomatisch ohne jegliche Konfiguration)über das WLAN ins Internet und das interne Netz.
Auch Macbooks und Linux Notebooks (ebenfalls vollautomatisch) haben vollständigen Zugriff (es wird noch alles bearbeitet, wer was wann wie wo darf :D)
Einfach das WLAN auswählen, AD Benutzer und PW eingeben, Zertifikat bestätigen, falls die Benutzerinformationen stimmen hat man Zugriff ansonsten nicht.
Ich bekomm ums verrecken kein Windows 7 oder Win8 Notebook ins WLAN.
Es wurden bestimmt 1203912093 (natürlich maßlose Übertreibung) Konfigurationen an verschiedenen Windows Notebooks ausprobiert - also unter Sytemsteuerung ->Netzwerk- und Freigabecenter -> Drahtlosenetzwerke verwalten das entsprechende WLAN hinzugefügt, WPA2-Enterprise ausgewählt etc.
Nach n paar Versuchen kam auch die Benutzerabfrage wie bei allen anderen Geräten, aber jedes Mal konnte die Verbindung nicht hergestellt werden.
Ich weiß nicht wo ich suchen soll, ob was an den Richtlinien bzw. Anforderungen am NPS nicht stimmt oder was auch immer.
Warum funktioniert es bei allen Geräten außer mit Windows Clients?
Was muss ich einstellen?
Ich freu mich über jede hilfreiche Antwort.
Gruß
ich bin neu hier und hab schon einige Lösungen für meine Probleme hier gefunden, dafür wollte ich mich schonmal bedanken!
Leider habe ich seit einiger Zeit ein Problem bei dem ich auch nach dem 100. probieren und recherchieren nicht "weiterkomme".
Ich habe vor einiger Zeit den Auftrag bekommen das WLAN in unserer Firma aufzubauen.
Natürlich hab ich mich informiert und dann fleißig ausprobiert.
Folgendes habe ich gemacht:
NPS Rolle auf unserem DC installiert
4 Lancom AP's wurden eingekauft, eingerichtet (WPA2-Enterprise etc.) und beim NPS eingetragen.
Der DC hat ein Zertifikat bekommen (wurde manuell eingerichtet, ich durfte keine Zertifikatsstelle installieren) und der NPS wurde in der AD registriert.
Das mit der Zertifizierungsstelle macht mich immer noch bockig, ist der nicht von Nöten damit alles sauber funktioniert oder erneuert er einfach nur das Zertifikat (auf dem DC) automatisch?
Jedenfalls sieht es jetzt so aus:
Alle Tablets und Handys können (vollautomatisch ohne jegliche Konfiguration)über das WLAN ins Internet und das interne Netz.
Auch Macbooks und Linux Notebooks (ebenfalls vollautomatisch) haben vollständigen Zugriff (es wird noch alles bearbeitet, wer was wann wie wo darf :D)
Einfach das WLAN auswählen, AD Benutzer und PW eingeben, Zertifikat bestätigen, falls die Benutzerinformationen stimmen hat man Zugriff ansonsten nicht.
Ich bekomm ums verrecken kein Windows 7 oder Win8 Notebook ins WLAN.
Es wurden bestimmt 1203912093 (natürlich maßlose Übertreibung) Konfigurationen an verschiedenen Windows Notebooks ausprobiert - also unter Sytemsteuerung ->Netzwerk- und Freigabecenter -> Drahtlosenetzwerke verwalten das entsprechende WLAN hinzugefügt, WPA2-Enterprise ausgewählt etc.
Nach n paar Versuchen kam auch die Benutzerabfrage wie bei allen anderen Geräten, aber jedes Mal konnte die Verbindung nicht hergestellt werden.
Ich weiß nicht wo ich suchen soll, ob was an den Richtlinien bzw. Anforderungen am NPS nicht stimmt oder was auch immer.
Warum funktioniert es bei allen Geräten außer mit Windows Clients?
Was muss ich einstellen?
Ich freu mich über jede hilfreiche Antwort.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232316
Url: https://administrator.de/contentid/232316
Printed on: April 16, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo,
ich würde mir entweder zu den WLAN APs einen Radiusserver
besorgen und das damit abhandeln wollen und dann unterscheiden
zwischen Kabel gebundenen und Kabel losen Klienten!
- Kabel gebundene Klienten über LDAP
- Kabel lose Klienten über den Radiusserver
Gruß
Dobby
ich würde mir entweder zu den WLAN APs einen Radiusserver
besorgen und das damit abhandeln wollen und dann unterscheiden
zwischen Kabel gebundenen und Kabel losen Klienten!
- Kabel gebundene Klienten über LDAP
- Kabel lose Klienten über den Radiusserver
Gruß
Dobby
Hallo,
in der Regel musst du den Benutzer im Format:
domäne\benutzername eingeben.
Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung ausgespuckt wird.
Das wäre der erste Schritt. Dann hoffe ich, dass du das Zertifikat auf dem Client installiert hast. Wobei ich die Erfahrung gemacht habe, dass Windows 8 da nicht so kleinlich ist.
Die Antwort von Dobby kann ich nicht ganz nachvollziehen, wozu er einen Radiusserver besorgen soll, den er ja eh schon installiert hat?! (NPS)
Und dass es hier ein Problem bei Kabelgebunden und Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Gruß
in der Regel musst du den Benutzer im Format:
domäne\benutzername eingeben.
Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung ausgespuckt wird.
Das wäre der erste Schritt. Dann hoffe ich, dass du das Zertifikat auf dem Client installiert hast. Wobei ich die Erfahrung gemacht habe, dass Windows 8 da nicht so kleinlich ist.
Die Antwort von Dobby kann ich nicht ganz nachvollziehen, wozu er einen Radiusserver besorgen soll, den er ja eh schon installiert hat?! (NPS)
Und dass es hier ein Problem bei Kabelgebunden und Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Gruß
1
Hallo,
und sei es denn nur auf einem kleinen Router bzw. einer
Firewall installiert, dann sind alle Unstimmigkeiten und
Probleme "nur" auf den Radius Server zurückzuführen und
ich erspare mir ganz schnell sehr viel "Suchen" und damit
natürlich auch sehr viel Zeit! Und zusätzlich bekomme ich
auch schneller Hilfe zu diversen Problemen damit, aber
da ist dann alles ausgeschlossen was mit dem MS Server
zu tun hat!!!! Denn was wissen wir von der Konfiguration seines
Servers?
Radius Auth. mit Zertifikaten "haut" einem auch immer gleich
eine ordentliche Last auf das Netzwerkkabel und die gesamte
Netzwerkinfrastruktur! Und man kann sicherlich auch LAN Geräte
also Kabel gebundene Geräte mittels Radius mit absichern,
was aus den eben erwähnten Gründen aber lieber nicht
gemacht werden sollte.
Gruß
Dobby
Die Antwort von Dobby kann ich nicht ganz nachvollziehen,
Kein Thema ich erkläre das ja auch wenn man nett fragt!wozu er einen Radiusserver besorgen soll, den er ja eh
schon installiert hat?! (NPS)
Wenn ich nur einen Radius Server installieren oder nutzeschon installiert hat?! (NPS)
und sei es denn nur auf einem kleinen Router bzw. einer
Firewall installiert, dann sind alle Unstimmigkeiten und
Probleme "nur" auf den Radius Server zurückzuführen und
ich erspare mir ganz schnell sehr viel "Suchen" und damit
natürlich auch sehr viel Zeit! Und zusätzlich bekomme ich
auch schneller Hilfe zu diversen Problemen damit, aber
da ist dann alles ausgeschlossen was mit dem MS Server
zu tun hat!!!! Denn was wissen wir von der Konfiguration seines
Servers?
Und dass es hier ein Problem bei Kabelgebunden und
Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Ich auch nicht und genau deshalb habe ich auch gleich dazu geschrieben das man so etwas sinnvoller Weise aufteilt dennKabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Radius Auth. mit Zertifikaten "haut" einem auch immer gleich
eine ordentliche Last auf das Netzwerkkabel und die gesamte
Netzwerkinfrastruktur! Und man kann sicherlich auch LAN Geräte
also Kabel gebundene Geräte mittels Radius mit absichern,
was aus den eben erwähnten Gründen aber lieber nicht
gemacht werden sollte.
Gruß
Dobby
1
Hi,
also "domäne\benutername" habe ich auch schon ausprobiert, klappt allerdings auch nicht.
Unter Sicherheit wird nichts weiter ausgespuckt, allerdings unter "System".
Es wurde eine schwerwiegende Warnung empfangen: 47.
Protokollname: System
Quelle: Schannel
Datum: 12.03.2014 08:54:17
Ereignis-ID: 36887
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: "DC.Domäne"
Beschreibung:
Es wurde eine schwerwiegende Warnung empfangen: 47.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36887</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2014-03-12T07:54:17.831359700Z" />
<EventRecordID>112461</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="680" />
<Channel>System</Channel>
<Computer>"DC.Domäne"</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="AlertDesc">47</Data>
</EventData>
</Event>
Zu der Konfiguration:
Also der NPS ist ausschließlich für das WLAN konfiguriert.
Insgesamt sind 4 Radius-Clients eingetragen Access-Points) die jeweils eine feste zugewiesene IP besitzen und einen gemeinsamen geheimen Schlüssel (pro Client einen Schlüssel, der wiederum aufm AP eingetragen ist.)
Unter den Verbindungsanforderungen ist lediglich die NAS-Porttyp (Wireless - IEEE 802.11 oder Wireless - Other) eingetragen und unter den Einstellung wurde nichts weiter vorgenommen.
Die Netzwerkrichtlinien besitzen erst einmal nur die Bedingung "Benutzergruppe" - Mitglied der Domäne bzw. Domänen-Benutzer.
In den Einschränkungen sind folgende EAP-Typen eingestellt:
geschütztes EAP (PEAP) und EAP-MSCHAP v2)
Also bei allen Clients (sei es Tablet oder Smartphone) kann man seinen Domänenbenutzer und Passwort eingeben, danach das Zertifikat vom Server bestätigen und dann ist man im Netz. Auf den Clients hab ich aber keine Zertifkate installiert, außer das ich das Zertifkat vom Server bestätigt habe.
Xaero1982 du hast gesagt, das ich auf einem Windows-Client das Zertifkat installieren sollte, dort ist aber nichts weiter installiert.
Bei den anderen Clients klappts ja auch so?
also "domäne\benutername" habe ich auch schon ausprobiert, klappt allerdings auch nicht.
Unter Sicherheit wird nichts weiter ausgespuckt, allerdings unter "System".
Es wurde eine schwerwiegende Warnung empfangen: 47.
Protokollname: System
Quelle: Schannel
Datum: 12.03.2014 08:54:17
Ereignis-ID: 36887
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: "DC.Domäne"
Beschreibung:
Es wurde eine schwerwiegende Warnung empfangen: 47.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36887</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2014-03-12T07:54:17.831359700Z" />
<EventRecordID>112461</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="680" />
<Channel>System</Channel>
<Computer>"DC.Domäne"</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="AlertDesc">47</Data>
</EventData>
</Event>
Zu der Konfiguration:
Also der NPS ist ausschließlich für das WLAN konfiguriert.
Insgesamt sind 4 Radius-Clients eingetragen Access-Points) die jeweils eine feste zugewiesene IP besitzen und einen gemeinsamen geheimen Schlüssel (pro Client einen Schlüssel, der wiederum aufm AP eingetragen ist.)
Unter den Verbindungsanforderungen ist lediglich die NAS-Porttyp (Wireless - IEEE 802.11 oder Wireless - Other) eingetragen und unter den Einstellung wurde nichts weiter vorgenommen.
Die Netzwerkrichtlinien besitzen erst einmal nur die Bedingung "Benutzergruppe" - Mitglied der Domäne bzw. Domänen-Benutzer.
In den Einschränkungen sind folgende EAP-Typen eingestellt:
geschütztes EAP (PEAP) und EAP-MSCHAP v2)
Also bei allen Clients (sei es Tablet oder Smartphone) kann man seinen Domänenbenutzer und Passwort eingeben, danach das Zertifikat vom Server bestätigen und dann ist man im Netz. Auf den Clients hab ich aber keine Zertifkate installiert, außer das ich das Zertifkat vom Server bestätigt habe.
Xaero1982 du hast gesagt, das ich auf einem Windows-Client das Zertifkat installieren sollte, dort ist aber nichts weiter installiert.
Bei den anderen Clients klappts ja auch so?
Zitat von @Xaero1982:
Hallo,
in der Regel musst du den Benutzer im Format:
domäne\benutzername eingeben.
Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung
ausgespuckt wird.
Hallo,
in der Regel musst du den Benutzer im Format:
domäne\benutzername eingeben.
Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung
ausgespuckt wird.
Hallo,
Durch die Fehlermeldung und etwas Recherche wurde das Problem gelöst.
Auf dem DC, dort wo der NPS auch installiert wurde, musst ein neuer "DWORD Schlüssel" angelegt werden
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Name: SendTrustedIssuerList
Wert: 0
Danke, irgendwie hab ich immer an der falschen Stelle gesucht und dieses Mal etwas genauer hingesehen.
Vielen Dank!
Schön, dass es so klappt, allerdings hab ich keine Ahnung warum du das machen musstest und warum du nichts unter Sicherheit zu lesen bekommst 
Ja, bei den anderen klappt es ... warum? Keine Ahnung.
Gruß
Ja, bei den anderen klappt es ... warum? Keine Ahnung.
Gruß
"Dieses Problem kann auftreten, wenn der Web-Server oder IAS-Server viele Einträge in der Liste der vertrauenswürdigen Stamm-Zertifizierung enthält"
Das entstand mal durch das Update KB933430
Hier auch nachzulesen: http://support.microsoft.com/kb/933430
Der RegKey unterdrückt die Sendung der zu langen Liste.
Es gibt auch einen HotFix dafür.
Das entstand mal durch das Update KB933430
Hier auch nachzulesen: http://support.microsoft.com/kb/933430
Der RegKey unterdrückt die Sendung der zu langen Liste.
Es gibt auch einen HotFix dafür.
