3
RADIUS - Netzwerkrichtlinie - Computerkonten
Hallo Zusammen,
die RADIUS Umgebung an sich funktioniert. Der Teufel steckt im Detail.
Mit einem Windows 7 Client kann ich mich mit dem WLAN "A" ohne Probleme verbinden.
Auf dem Server 2008R2 ist unter NPS für das WLAN "A" eine Netzwerkrichtlinie konfiguriert, die als Bedingung folgendes eingerichtet hat:
NAS-Port-Typ; Wireless - Other OR Wireless - IEEE 802.11
Benutzergruppen; [Domänenname]\WLAN-Benutzer (Hier sind die AD-Konten der Mitarbeiter drinnen, die WLAN nutzen sollen.
So weit so gut, wie oben erwähnt klappt die Verbindung auch einwandfrei. Nun will ich aber verhindern, dass die Benutzer Ihre privaten Geräte per WLAN in unser internes Netzwerk verbinden.
Da dachte ich an die Active Directory Domänencomputer Gruppe. Aber sobald ich diese in die Netzwerkrichtlinie mit aufnehme (Bedingungen auswählen: Computergruppen --> Hinzufügen --> Domänencomputer) wird der Zugriff des Windows7 Clients nicht erlaubt. Auf dem Server in den Logs bekomme ich folgende Ursache genannt: "Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein."
Auch der Versuch, eine neue AD Gruppe zu erstellen und den Rechnernamen in dieser einzutragen und die neue Gruppe dann in der Netzwerkrichtlinie zu hinterlegen, scheitert mit demselben Ergebnis.
Kann mir jemand von Euch weiterhelfen?
Gruß
winstarter
die RADIUS Umgebung an sich funktioniert. Der Teufel steckt im Detail.
Mit einem Windows 7 Client kann ich mich mit dem WLAN "A" ohne Probleme verbinden.
Auf dem Server 2008R2 ist unter NPS für das WLAN "A" eine Netzwerkrichtlinie konfiguriert, die als Bedingung folgendes eingerichtet hat:
NAS-Port-Typ; Wireless - Other OR Wireless - IEEE 802.11
Benutzergruppen; [Domänenname]\WLAN-Benutzer (Hier sind die AD-Konten der Mitarbeiter drinnen, die WLAN nutzen sollen.
So weit so gut, wie oben erwähnt klappt die Verbindung auch einwandfrei. Nun will ich aber verhindern, dass die Benutzer Ihre privaten Geräte per WLAN in unser internes Netzwerk verbinden.
Da dachte ich an die Active Directory Domänencomputer Gruppe. Aber sobald ich diese in die Netzwerkrichtlinie mit aufnehme (Bedingungen auswählen: Computergruppen --> Hinzufügen --> Domänencomputer) wird der Zugriff des Windows7 Clients nicht erlaubt. Auf dem Server in den Logs bekomme ich folgende Ursache genannt: "Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein."
Auch der Versuch, eine neue AD Gruppe zu erstellen und den Rechnernamen in dieser einzutragen und die neue Gruppe dann in der Netzwerkrichtlinie zu hinterlegen, scheitert mit demselben Ergebnis.
Kann mir jemand von Euch weiterhelfen?
Gruß
winstarter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 248950
Url: https://administrator.de/contentid/248950
Printed on: April 16, 2024 at 13:04 o'clock
3 Comments
Latest comment
Kurzes Update:
Selbst wenn ich in der Netzwerkrichtlinie nur die Bedingung: Betriebssystem; Rolle entspricht "Client" hinzufüge erhalte ich auch die Fehlermeldung: Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.
Auch einzeln versucht mit Bedingung: Betriebsystem; Architektur X86, gleiche Fehlermeldung.
Hmm als ob der Client diese Abfrage verhindert und dadurch keine Verbindung zustande kommt.
Oder ich übersehe noch etwas anderes?
Gruß
winstarter
Selbst wenn ich in der Netzwerkrichtlinie nur die Bedingung: Betriebssystem; Rolle entspricht "Client" hinzufüge erhalte ich auch die Fehlermeldung: Die Verbindungsanforderung stimmte mit keiner konfigurierten Netzwerkrichtlinie überein.
Auch einzeln versucht mit Bedingung: Betriebsystem; Architektur X86, gleiche Fehlermeldung.
Hmm als ob der Client diese Abfrage verhindert und dadurch keine Verbindung zustande kommt.
Oder ich übersehe noch etwas anderes?
Gruß
winstarter
Update 2:
Ich bin ein Stück weitergekommen. Es liegt tatsächlich daran, dass vom Client die Informationen wie Kontoname, Vollqualifizierter Kontoname, Betriebssystemversion nicht sauber übertragen werden. In der Log-Datei des RADIUS Servers steht lediglich ein Bindestrich als Wert. Was übertragen wird ist zum Beispiel die MAC Adresse des Clients und sobald ich diese zusätzlich zur anderen Benutzergrupper in die Netzwerkrichtlinie mit aufnheme klappt die Verbindung weiterhin. Weil eben diese Informatione vom Client abgegriffen werden kann.
Nun möchte ich es jedoch vermeiden, dass ich für jeden Laptop bei uns eine extra Netzwerkrichtlinie anlegen muss, da wenn man alle MAC Adressen in einer hinzufügt die Logik der Abarbeitung verlangen würde, dass der anfragende mit allen Bedingungen innerhalb der Netzwerkrichtlinie übereinstimmt.
Ich schaue mir gerade die Firewallsettings an. Unseren Virenscanner habe ich schon überprüft, nichts zu sehen in den Logs. Kann es eventuell an der UAC liegen?
Hat jemand sonst noch einen Tipp woran es liegen kann, dass die Informationen vom Client nicht übermittelt werden?
Gruß
winstarter
Ich bin ein Stück weitergekommen. Es liegt tatsächlich daran, dass vom Client die Informationen wie Kontoname, Vollqualifizierter Kontoname, Betriebssystemversion nicht sauber übertragen werden. In der Log-Datei des RADIUS Servers steht lediglich ein Bindestrich als Wert. Was übertragen wird ist zum Beispiel die MAC Adresse des Clients und sobald ich diese zusätzlich zur anderen Benutzergrupper in die Netzwerkrichtlinie mit aufnheme klappt die Verbindung weiterhin. Weil eben diese Informatione vom Client abgegriffen werden kann.
Nun möchte ich es jedoch vermeiden, dass ich für jeden Laptop bei uns eine extra Netzwerkrichtlinie anlegen muss, da wenn man alle MAC Adressen in einer hinzufügt die Logik der Abarbeitung verlangen würde, dass der anfragende mit allen Bedingungen innerhalb der Netzwerkrichtlinie übereinstimmt.
Ich schaue mir gerade die Firewallsettings an. Unseren Virenscanner habe ich schon überprüft, nichts zu sehen in den Logs. Kann es eventuell an der UAC liegen?
Hat jemand sonst noch einen Tipp woran es liegen kann, dass die Informationen vom Client nicht übermittelt werden?
Gruß
winstarter
Ich habe genau das gleiche Problem. Wurde es in diesem Fall gelöst?
Hat jemand eine Idee?
Hat jemand eine Idee?