Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Richtige WPA2-Enterprise Konfiguration am Windows Notebook - Windows Server 2008 mit NPS

Frage Netzwerke LAN, WAN, Wireless

Mitglied: k0olTCW

k0olTCW (Level 1) - Jetzt verbinden

11.03.2014, aktualisiert 13.03.2014, 3634 Aufrufe, 7 Kommentare, 2 Danke

Guten Tag erstmal,

ich bin neu hier und hab schon einige Lösungen für meine Probleme hier gefunden, dafür wollte ich mich schonmal bedanken!

Leider habe ich seit einiger Zeit ein Problem bei dem ich auch nach dem 100. probieren und recherchieren nicht "weiterkomme".

Ich habe vor einiger Zeit den Auftrag bekommen das WLAN in unserer Firma aufzubauen.
Natürlich hab ich mich informiert und dann fleißig ausprobiert.

Folgendes habe ich gemacht:
NPS Rolle auf unserem DC installiert
4 Lancom AP's wurden eingekauft, eingerichtet (WPA2-Enterprise etc.) und beim NPS eingetragen.
Der DC hat ein Zertifikat bekommen (wurde manuell eingerichtet, ich durfte keine Zertifikatsstelle installieren) und der NPS wurde in der AD registriert.
Das mit der Zertifizierungsstelle macht mich immer noch bockig, ist der nicht von Nöten damit alles sauber funktioniert oder erneuert er einfach nur das Zertifikat (auf dem DC) automatisch?

Jedenfalls sieht es jetzt so aus:
Alle Tablets und Handys können (vollautomatisch ohne jegliche Konfiguration)über das WLAN ins Internet und das interne Netz.
Auch Macbooks und Linux Notebooks (ebenfalls vollautomatisch) haben vollständigen Zugriff (es wird noch alles bearbeitet, wer was wann wie wo darf :D)
Einfach das WLAN auswählen, AD Benutzer und PW eingeben, Zertifikat bestätigen, falls die Benutzerinformationen stimmen hat man Zugriff ansonsten nicht.

Ich bekomm ums verrecken kein Windows 7 oder Win8 Notebook ins WLAN.
Es wurden bestimmt 1203912093 (natürlich maßlose Übertreibung) Konfigurationen an verschiedenen Windows Notebooks ausprobiert - also unter Sytemsteuerung ->Netzwerk- und Freigabecenter -> Drahtlosenetzwerke verwalten das entsprechende WLAN hinzugefügt, WPA2-Enterprise ausgewählt etc.
Nach n paar Versuchen kam auch die Benutzerabfrage wie bei allen anderen Geräten, aber jedes Mal konnte die Verbindung nicht hergestellt werden.

Ich weiß nicht wo ich suchen soll, ob was an den Richtlinien bzw. Anforderungen am NPS nicht stimmt oder was auch immer.
Warum funktioniert es bei allen Geräten außer mit Windows Clients?
Was muss ich einstellen?


Ich freu mich über jede hilfreiche Antwort.

Gruß
Mitglied: Dobby
11.03.2014 um 19:06 Uhr
Hallo,

ich würde mir entweder zu den WLAN APs einen Radiusserver
besorgen und das damit abhandeln wollen und dann unterscheiden
zwischen Kabel gebundenen und Kabel losen Klienten!
- Kabel gebundene Klienten über LDAP
- Kabel lose Klienten über den Radiusserver

Gruß
Dobby
Bitte warten ..
Mitglied: Xaero1982
LÖSUNG 11.03.2014, aktualisiert 12.03.2014
Hallo,

in der Regel musst du den Benutzer im Format:

domäne\benutzername eingeben.

Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung ausgespuckt wird.

Das wäre der erste Schritt. Dann hoffe ich, dass du das Zertifikat auf dem Client installiert hast. Wobei ich die Erfahrung gemacht habe, dass Windows 8 da nicht so kleinlich ist.

Die Antwort von Dobby kann ich nicht ganz nachvollziehen, wozu er einen Radiusserver besorgen soll, den er ja eh schon installiert hat?! (NPS)
Und dass es hier ein Problem bei Kabelgebunden und Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...

Gruß
Bitte warten ..
Mitglied: Dobby
11.03.2014 um 23:20 Uhr
Hallo,

Die Antwort von Dobby kann ich nicht ganz nachvollziehen,
Kein Thema ich erkläre das ja auch wenn man nett fragt!

wozu er einen Radiusserver besorgen soll, den er ja eh
schon installiert hat?! (NPS)
Wenn ich nur einen Radius Server installieren oder nutze
und sei es denn nur auf einem kleinen Router bzw. einer
Firewall installiert, dann sind alle Unstimmigkeiten und
Probleme "nur" auf den Radius Server zurückzuführen und
ich erspare mir ganz schnell sehr viel "Suchen" und damit
natürlich auch sehr viel Zeit! Und zusätzlich bekomme ich
auch schneller Hilfe zu diversen Problemen damit, aber
da ist dann alles ausgeschlossen was mit dem MS Server
zu tun hat!!!! Denn was wissen wir von der Konfiguration seines
Servers?

Und dass es hier ein Problem bei Kabelgebunden und
Kabellos gibt kann ich dem Beitrag des TE nicht entnehmen...
Ich auch nicht und genau deshalb habe ich auch gleich dazu geschrieben das man so etwas sinnvoller Weise aufteilt denn
Radius Auth. mit Zertifikaten "haut" einem auch immer gleich
eine ordentliche Last auf das Netzwerkkabel und die gesamte
Netzwerkinfrastruktur! Und man kann sicherlich auch LAN Geräte
also Kabel gebundene Geräte mittels Radius mit absichern,
was aus den eben erwähnten Gründen aber lieber nicht
gemacht werden sollte.

Gruß
Dobby
Bitte warten ..
Mitglied: k0olTCW
12.03.2014 um 09:20 Uhr
Hi,

also "domäne\benutername" habe ich auch schon ausprobiert, klappt allerdings auch nicht.
Unter Sicherheit wird nichts weiter ausgespuckt, allerdings unter "System".

Es wurde eine schwerwiegende Warnung empfangen: 47.
Protokollname: System
Quelle: Schannel
Datum: 12.03.2014 08:54:17
Ereignis-ID: 36887
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:
Benutzer: SYSTEM
Computer: "DC.Domäne"
Beschreibung:
Es wurde eine schwerwiegende Warnung empfangen: 47.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
<EventID>36887</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2014-03-12T07:54:17.831359700Z" />
<EventRecordID>112461</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="680" />
<Channel>System</Channel>
<Computer>"DC.Domäne"</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="AlertDesc">47</Data>
</EventData>
</Event>



Zu der Konfiguration:
Also der NPS ist ausschließlich für das WLAN konfiguriert.
Insgesamt sind 4 Radius-Clients eingetragen Access-Points) die jeweils eine feste zugewiesene IP besitzen und einen gemeinsamen geheimen Schlüssel (pro Client einen Schlüssel, der wiederum aufm AP eingetragen ist.)

Unter den Verbindungsanforderungen ist lediglich die NAS-Porttyp (Wireless - IEEE 802.11 oder Wireless - Other) eingetragen und unter den Einstellung wurde nichts weiter vorgenommen.

Die Netzwerkrichtlinien besitzen erst einmal nur die Bedingung "Benutzergruppe" - Mitglied der Domäne bzw. Domänen-Benutzer.
In den Einschränkungen sind folgende EAP-Typen eingestellt:
geschütztes EAP (PEAP) und EAP-MSCHAP v2)

Also bei allen Clients (sei es Tablet oder Smartphone) kann man seinen Domänenbenutzer und Passwort eingeben, danach das Zertifikat vom Server bestätigen und dann ist man im Netz. Auf den Clients hab ich aber keine Zertifkate installiert, außer das ich das Zertifkat vom Server bestätigt habe.

Xaero1982 du hast gesagt, das ich auf einem Windows-Client das Zertifkat installieren sollte, dort ist aber nichts weiter installiert.
Bei den anderen Clients klappts ja auch so?
Bitte warten ..
Mitglied: k0olTCW
12.03.2014 um 15:02 Uhr
Zitat von Xaero1982:

Hallo,

in der Regel musst du den Benutzer im Format:

domäne\benutzername eingeben.

Ansonsten kannst du im Eventlog des Servers auf dem der NPS installiert ist unter Sicherheit kontrollieren was als Fehlermeldung
ausgespuckt wird.

Hallo,

Durch die Fehlermeldung und etwas Recherche wurde das Problem gelöst.
Auf dem DC, dort wo der NPS auch installiert wurde, musst ein neuer "DWORD Schlüssel" angelegt werden

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Name: SendTrustedIssuerList
Wert: 0


Danke, irgendwie hab ich immer an der falschen Stelle gesucht und dieses Mal etwas genauer hingesehen.
Vielen Dank!
Bitte warten ..
Mitglied: Xaero1982
12.03.2014 um 17:57 Uhr
Schön, dass es so klappt, allerdings hab ich keine Ahnung warum du das machen musstest und warum du nichts unter Sicherheit zu lesen bekommst

Ja, bei den anderen klappt es ... warum? Keine Ahnung.

Gruß
Bitte warten ..
Mitglied: k0olTCW
13.03.2014 um 09:00 Uhr
"Dieses Problem kann auftreten, wenn der Web-Server oder IAS-Server viele Einträge in der Liste der vertrauenswürdigen Stamm-Zertifizierung enthält"
Das entstand mal durch das Update KB933430
Hier auch nachzulesen: http://support.microsoft.com/kb/933430
Der RegKey unterdrückt die Sendung der zu langen Liste.
Es gibt auch einen HotFix dafür.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...