substyle 20 Geschrieben 20. Mai 2014 Melden Teilen Geschrieben 20. Mai 2014 Hallo Leute, folgende Situation: D-Link DAP 2690 dient als AP für WLAN über 802.x - als Radius dient ein NPS (Windows Server 2012) Der NPS hat ein eigenes Zertifikat erhalten, Die Clients trauen der RootCA des Unternehmens, welches das Zertifikat für den NPS ausgestellt hat. Im NPS ist eine entsprechende Netzwerkrichtlinie eingerichtet, welche Clients den Zugangs gewährt die einer Gruppen angehören (Domänencomouter) oder einer Benutzergruppe (WLAN-User) Wenn ich z.B. ein Smartphone über MS Chap v2 verbinde (Domain Anmeldedaten des Users) kommt der ins Netzwerk, soweit so gut. Nun ist es so, das User WLAN benötigen bevor sie sich anmelden (nach der Anmeldung kein Problem, auch nicht bei lokalen Users (nicht Domain Usern) = Computerkonto authentifiziert sich ok)) Das klappt aber nicht. Was habe ich da übersehen? Die Clients sind Windows 8 und WIndows 8.1 Pro. Wie gesagt es geht um die Anmeldung am WLAN über 802.x vor der Benutzeranmeldung für der Computerkonto. LG subby Zitieren Link zu diesem Kommentar
Operator 10 Geschrieben 21. Mai 2014 Melden Teilen Geschrieben 21. Mai 2014 Wenn ich mich richtig erinnere muss man im NPS einmal eine Benutzergruppe und einmal eine Computergruppe als einwahlberechtigt zur Richtlinie hinzufügen. Die dabei angegebene Gruppe kann dabei aber durchaus identisch sein.Nur einmal werden nur die User, das andere mal nur die Computer ausgewertet. An den Clients sollte ggf. die GPO Einstellung aktiviert werden: Bei Starten immer auf das Netzwerk warten. Soviel in Kurzform. :) Für Detailfragen fragen. Gruß Andre Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 21. Mai 2014 Melden Teilen Geschrieben 21. Mai 2014 Moin, greift am NPS die gewünschte Richtlinie? Die Richtlinien werden Top-Down abgearbeitet und der erste Treffer zählt. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 22. Mai 2014 Autor Melden Teilen Geschrieben 22. Mai 2014 (bearbeitet) Hallo zusammen, ja die Richtlinie greift. Wie gesagt es ist eine Richtlinie mit "OR" also "Wlan-User" OR "Domaincomputers" Wenn ich einen lokalen Benutzer am PC anmelde, wenn der PC Mitglied in der Domain ist, geht die Verbindung. Wenn ich einen Domain User, welcher Mitglied der Gruppe "Wlan-User" ist anmelde, geht die Verbindung. Wenn ich vor der Anmeldung (Logon Screen) über das Symbol unten Links versuche eine WLAN Verbindung aufzubauen laufe ich ins leere. Es kommt hier auch keine Frage nach Benutzernamen / Kennwort. Any Hints? LG Lars bearbeitet 22. Mai 2014 von substyle Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Was steht denn in der Ereignisanzeige des Clients und in NPS-Log, wenn Du den Rechner nur anmachst und sich keiner anmeldet? Du bräuchtest hier gar nicht die WLAN-Verbindung manuell herstellen, das macht der Computer automatisch. Wenn es keine Verbindung gibt, müsstest Du im Log sehen können, woran die Authentifizierung scheitert. Ich habe das früher immer mit EAP-TLS gemacht. Dazu nimmt man dann Benutzer- und Maschinenzertifikate und eine Enterprise CA. Da konnte man im NPS-Log sehr schön die Anmeldung der Maschine beim Hochfahren und die Ummeldung auf den User bei der Anmeldung sehen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Ich muss mal nachfragen: sind die problematischen Clients Mitglied in der Domäne? Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 22. Mai 2014 Autor Melden Teilen Geschrieben 22. Mai 2014 @ Dukelmann, ja die Clients sind in der Domain. @Daniel, Danke für den Hinweis, das Verfahren kenne ich auch, es kommt bei dem Kunden leider nicht zur Anwendung. Bzgl. der Logs muss ich morgen schauen, habe ich gerade nicht da, ich glaube allerdings die waren sehr wenige aufschlussreich, sonst hätte ich es mit gespostet. LG Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 23. Mai 2014 Melden Teilen Geschrieben 23. Mai 2014 Moin, wenn es Domänen Clients sind sollte der Client an dieser Stelle (Anmeldebildschirm) bereits am WLAN authentifiziert und autorisiert sein. Die Policy schließt ja Domänencomputer ein. Ich kann nicht nachvollziehen, warum bereits vor der Anmeldung des Benutzers am Gerät, Aktionen im Sicherheitskontext des Benutzers ermöglicht werden sollen. Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 23. Mai 2014 Melden Teilen Geschrieben 23. Mai 2014 Ich kann nicht nachvollziehen, warum bereits vor der Anmeldung des Benutzers am Gerät, Aktionen im Sicherheitskontext des Benutzers ermöglicht werden sollen. Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten. Eine Möglichkeit ist Computerverwaltung. PCs nachts hochfahren und automatisch mit Software betanken lassen zum Beispiel. Das ist ja auch ien Vorteil von DirectAccess, dass der PC im Maschinenkontext verwaltbar ist, auch wenn kein User angemeldet ist. Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 23. Mai 2014 Autor Melden Teilen Geschrieben 23. Mai 2014 (bearbeitet) Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten. Die Situation war mir selber nicht bewusste bis folgendes passierte. Notebook steht in Niederlassung und hat nur die Möglichkeit für WLAN (kein Eth Port physikalisch zu erreichen). Über das WLAN ist der Zugriff auf die interne Domain möglich. Neuer Benutzer der Domäne (hatte sich noch nie am Lap angemeldet / daher keine cached Cred.) sollte sich anmelden. Geht aber nicht, weil von Login Screen keine WLAN Verbindung herzustellen war. Ich gehe heute nachmittag nochmal die Logs durch und melde mich dann wieder. LG Lars bearbeitet 23. Mai 2014 von substyle Zitieren Link zu diesem Kommentar
Drillsergeant 10 Geschrieben 28. Mai 2014 Melden Teilen Geschrieben 28. Mai 2014 Hallo Lars, ich nehme an das die Clients ein Computerzertifikat besitzen welches noch gültig ist? Gruß Stephan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.