Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Richtige WPA2-Enterprise Konfiguration am Windows Notebook - Windows Server 2008 mit NPS

Mitglied: k0olTCW

k0olTCW (Level 1) - Jetzt verbinden

11.03.2014, aktualisiert 13.03.2014, 4055 Aufrufe, 7 Kommentare, 2 Danke

Guten Tag erstmal,

ich bin neu hier und hab schon einige Lösungen für meine Probleme hier gefunden, dafür wollte ich mich schonmal bedanken!

Leider habe ich seit einiger Zeit ein Problem bei dem ich auch nach dem 100. probieren und recherchieren nicht "weiterkomme".

Ich habe vor einiger Zeit den Auftrag bekommen das WLAN in unserer Firma aufzubauen.
Natürlich hab ich mich informiert und dann fleißig ausprobiert.

Folgendes habe ich gemacht:
NPS Rolle auf unserem DC installiert
4 Lancom AP's wurden eingekauft, eingerichtet (WPA2-Enterprise etc.) und beim NPS eingetragen.
Der DC hat ein Zertifikat bekommen (wurde manuell eingerichtet, ich durfte keine Zertifikatsstelle installieren) und der NPS wurde in der AD registriert.
Das mit der Zertifizierungsstelle macht mich immer noch bockig, ist der nicht von Nöten damit alles sauber funktioniert oder erneuert er einfach nur das Zertifikat (auf dem DC) automatisch?

Jedenfalls sieht es jetzt so aus:
Alle Tablets und Handys können (vollautomatisch ohne jegliche Konfiguration)über das WLAN ins Internet und das interne Netz.
Auch Macbooks und Linux Notebooks (ebenfalls vollautomatisch) haben vollständigen Zugriff (es wird noch alles bearbeitet, wer was wann wie wo darf :D)
Einfach das WLAN auswählen, AD Benutzer und PW eingeben, Zertifikat bestätigen, falls die Benutzerinformationen stimmen hat man Zugriff ansonsten nicht.

Ich bekomm ums verrecken kein Windows 7 oder Win8 Notebook ins WLAN.
Es wurden bestimmt 1203912093 (natürlich maßlose Übertreibung) Konfigurationen an verschiedenen Windows Notebooks ausprobiert - also unter Sytemsteuerung ->Netzwerk- und Freigabecenter -> Drahtlosenetzwerke verwalten das entsprechende WLAN hinzugefügt, WPA2-Enterprise ausgewählt etc.
Nach n paar Versuchen kam auch die Benutzerabfrage wie bei allen anderen Geräten, aber jedes Mal konnte die Verbindung nicht hergestellt werden.

Ich weiß nicht wo ich suchen soll, ob was an den Richtlinien bzw. Anforderungen am NPS nicht stimmt oder was auch immer.
Warum funktioniert es bei allen Geräten außer mit Windows Clients?
Was muss ich einstellen?


Ich freu mich über jede hilfreiche Antwort.

Gruß
Mitglied: 108012
11.03.2014 um 19:06 Uhr
Hallo,

ich würde mir entweder zu den WLAN APs einen Radiusserver
besorgen und das damit abhandeln wollen und dann unterscheiden
zwischen Kabel gebundenen und Kabel losen Klienten!
- Kabel gebundene Klienten über LDAP
- Kabel lose Klienten über den Radiusserver

Gruß
Dobby
Bitte warten ..
Mitglied: Xaero1982
LÖSUNG 11.03.2014, aktualisiert 12.03.2014
Hallo,

in der Regel musst du den Benutzer im Format:

domäne\benutzername eingeben.

Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung ausgespuckt wird.

Das wäre der erste Schritt. Dann hoffe ich, dass du das Zertifikat auf dem Client installiert hast. Wobei ich die Erfahrung gemacht habe, dass Windows 8 da nicht so kleinlich ist.

Die Antwort von Dobby kann ich nicht ganz nachvollziehen, wozu er einen Radiusserver besorgen soll, den er ja eh schon installiert hat?! (NPS)
Und dass es hier ein Problem bei Kabelgebunden und Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...

Gruß
Bitte warten ..
Mitglied: 108012
11.03.2014 um 23:20 Uhr
Hallo,

Die Antwort von Dobby kann ich nicht ganz nachvollziehen,
Kein Thema ich erkläre das ja auch wenn man nett fragt!

wozu er einen Radiusserver besorgen soll, den er ja eh
schon installiert hat?! (NPS)
Wenn ich nur einen Radius Server installieren oder nutze
und sei es denn nur auf einem kleinen Router bzw. einer
Firewall installiert, dann sind alle Unstimmigkeiten und
Probleme "nur" auf den Radius Server zurückzuführen und
ich erspare mir ganz schnell sehr viel "Suchen" und damit
natürlich auch sehr viel Zeit! Und zusätzlich bekomme ich
auch schneller Hilfe zu diversen Problemen damit, aber
da ist dann alles ausgeschlossen was mit dem MS Server
zu tun hat!!!! Denn was wissen wir von der Konfiguration seines
Servers?

Und dass es hier ein Problem bei Kabelgebunden und
Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Ich auch nicht und genau deshalb habe ich auch gleich dazu geschrieben das man so etwas sinnvoller Weise aufteilt denn
Radius Auth. mit Zertifikaten "haut" einem auch immer gleich
eine ordentliche Last auf das Netzwerkkabel und die gesamte
Netzwerkinfrastruktur! Und man kann sicherlich auch LAN Geräte
also Kabel gebundene Geräte mittels Radius mit absichern,
was aus den eben erwähnten Gründen aber lieber nicht
gemacht werden sollte.

Gruß
Dobby
Bitte warten ..
Mitglied: k0olTCW
12.03.2014 um 09:20 Uhr
Hi,

also "domäne\benutername" habe ich auch schon ausprobiert, klappt allerdings auch nicht.
Unter Sicherheit wird nichts weiter ausgespuckt, allerdings unter "System".

Es wurde eine schwerwiegende Warnung empfangen: 47.
Protokollname: System
Quelle: Schannel
Datum: 12.03.2014 08:54:17
Ereignis-ID: 36887
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: "DC.Domäne"
Beschreibung:
Es wurde eine schwerwiegende Warnung empfangen: 47.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36887</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2014-03-12T07:54:17.831359700Z" />
<EventRecordID>112461</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="680" />
<Channel>System</Channel>
<Computer>"DC.Domäne"</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="AlertDesc">47</Data>
</EventData>
</Event>



Zu der Konfiguration:
Also der NPS ist ausschließlich für das WLAN konfiguriert.
Insgesamt sind 4 Radius-Clients eingetragen Access-Points) die jeweils eine feste zugewiesene IP besitzen und einen gemeinsamen geheimen Schlüssel (pro Client einen Schlüssel, der wiederum aufm AP eingetragen ist.)

Unter den Verbindungsanforderungen ist lediglich die NAS-Porttyp (Wireless - IEEE 802.11 oder Wireless - Other) eingetragen und unter den Einstellung wurde nichts weiter vorgenommen.

Die Netzwerkrichtlinien besitzen erst einmal nur die Bedingung "Benutzergruppe" - Mitglied der Domäne bzw. Domänen-Benutzer.
In den Einschränkungen sind folgende EAP-Typen eingestellt:
geschütztes EAP (PEAP) und EAP-MSCHAP v2)

Also bei allen Clients (sei es Tablet oder Smartphone) kann man seinen Domänenbenutzer und Passwort eingeben, danach das Zertifikat vom Server bestätigen und dann ist man im Netz. Auf den Clients hab ich aber keine Zertifkate installiert, außer das ich das Zertifkat vom Server bestätigt habe.

Xaero1982 du hast gesagt, das ich auf einem Windows-Client das Zertifkat installieren sollte, dort ist aber nichts weiter installiert.
Bei den anderen Clients klappts ja auch so?
Bitte warten ..
Mitglied: k0olTCW
12.03.2014 um 15:02 Uhr
Zitat von Xaero1982:

Hallo,

in der Regel musst du den Benutzer im Format:

domäne\benutzername eingeben.

Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung
ausgespuckt wird.

Hallo,

Durch die Fehlermeldung und etwas Recherche wurde das Problem gelöst.
Auf dem DC, dort wo der NPS auch installiert wurde, musst ein neuer "DWORD Schlüssel" angelegt werden

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Name: SendTrustedIssuerList
Wert: 0


Danke, irgendwie hab ich immer an der falschen Stelle gesucht und dieses Mal etwas genauer hingesehen.
Vielen Dank!
Bitte warten ..
Mitglied: Xaero1982
12.03.2014 um 17:57 Uhr
Schön, dass es so klappt, allerdings hab ich keine Ahnung warum du das machen musstest und warum du nichts unter Sicherheit zu lesen bekommst

Ja, bei den anderen klappt es ... warum? Keine Ahnung.

Gruß
Bitte warten ..
Mitglied: k0olTCW
13.03.2014 um 09:00 Uhr
"Dieses Problem kann auftreten, wenn der Web-Server oder IAS-Server viele Einträge in der Liste der vertrauenswürdigen Stamm-Zertifizierung enthält"
Das entstand mal durch das Update KB933430
Hier auch nachzulesen: http://support.microsoft.com/kb/933430
Der RegKey unterdrückt die Sendung der zu langen Liste.
Es gibt auch einen HotFix dafür.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Computerauthentifizierung im Enterprise-WLAN mit einem NPS-Server

Frage von Philipp711LAN, WAN, Wireless11 Kommentare

Hi Leute, ich spiele gerade ein wenig mit einem NPS-Server und WPA2-Enterprise herum. Ich möchte keine Nutzer authentifizieren, sondern ...

LAN, WAN, Wireless

WPA2 Enterprise Verbindung vor Anmeldung herstellen

gelöst Frage von windowsboyLAN, WAN, Wireless6 Kommentare

Hallo ich habe wiedereinmal ein Problem. Ich bin im Besitz zweier Serverbetriebssysteme (Windows SBS 2003 R2, Windows Server 2003 ...

Windows Server

Server 2008 R2 als NPS Proxy

Frage von JASTONWindows Server

Hallo zusammen, ich habe das Problem, das der NPS Server 2008R2 und ein Lancom Radius Server nicht richtig kommunizieren. ...

Windows Systemdateien

Server 2008 R2 Konfiguration

Frage von KellogsFRWindows Systemdateien3 Kommentare

Hallo zusammen, ich steh hier vor einer etwas seltsamen Konfiguration eines Servers und ich hoffe, dass jemand eine Ahnung ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 5 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 7 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 7 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...