Jump to content
Sign in to follow this  
RalphT

WLAN nur mit Zertifikaten bei Nichtdomänencomputer

Recommended Posts

Moin,

ich habe hier ein Problem mit WLAN 802.1x mit Zertifikaten.
Ich möchte einen Computer, der nicht in der Domäne ist, mit dem WLAN verbinden.
Das soll in diesem Fall nur mit Zertifikaten geschehen. Also nicht am Client Name/Passwortabfrage.
Mit einem Domänencomputer funktioniert das.

Vorhanden ist ein DC, 2-stufige PKI und ein NPS-Server. Auf dem NPS-Server habe ich eine neue Verbindungsanforderungsrichtline erstellt.
Dort habe ich unter dem Reiter "Einstellungen" bei EAP-Typen "Microsoft: Smartcard oder anderes Zertifikat" eingestellt.

In der Netzwerkrichtlinie habe ich unter dem Reiter Bedingungen eine Computergruppe hinterlegt.
In der Computergruppe sind alle Computer, die sich mit dem WLAN verbinden dürfen.

Nun habe ich den Computer, der nicht in der Domäne ist, manuell angelegt. (Neuer Computer)

Alle Computer also Domänenmitglieder und der Rechner der nicht in der Domäne ist, haben ein Zertifikat.
Das Zertifikat hat die EKU Eigenschaft "Clientauthentifizierung". Dieses Zertifikat entstand aus der Vorlage
"Computer".

Auf allen Clients habe ich eine neue WLAN-Verbindung erstellt. Unter dem Reiter "802.1x-Einstellungen" habe ich unter
"Authentifizierungsmodus angeben" Computerauthentifizierung gewählt.

Beim Versuch sich mit dem WLAN zu verbinden erscheint im NPS folgende Fehlermeldung (gekürzt):

Ich habe derzeit keine Idee, wo der Fehler liegen könnte. Es sieht so aus, dass der NPS-Server nicht den einen Computer in der AD finden kann.


Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
    Sicherheits-ID:            NULL SID
    Kontoname:                host/PC-TEST.zweigstelle.firma.de
    Kontodomäne:                ZWEIGSTELLE
    Vollqualifizierter Kontoname:        ZWEIGSTELLE\host/PC-TEST.zweigstelle.firma.de

Clientcomputer:
    Sicherheits-ID:            NULL SID
    Kontoname:                -
    Vollqualifizierter Kontoname:        -
    Betriebssystemversion:            -
    Empfänger-ID:                00-0B-6B-2A-FF-A3:SSID-WLAN-Name
    Anrufer-ID:                B4-B6-76-14-BE-14


Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie:    Richtlinie-WLAN-Test
    Netzwerkrichtlinienname:        -
    Authentifizierungsanbieter:        Windows
    Authentifizierungsserver:        Server-NPS.zweigstelle.firma.de
    Authentifizierungstyp:        EAP
    EAP-Typ:            Microsoft: Smartcard- oder anderes Zertifikat
    Kontositzungs-ID:        -
    Protokollierungsergebnisse:            Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode:            16
    Ursache:                Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Share this post


Link to post

Das ist schon seltsam: Ich suche da schon länger danach und jetzt, wo ich hier den Thread aufgemacht habe, ist das Problem gelöst.

 

Hier die Lösung:

 

Computerkonto manuell in der AD anlegen. Anschließend in die Eigenschaften und auf den Reiter "Attribut-Edit".

Dort das Attribut "servicePrincipalName" suchen. Hier dann den Hostnamen eintragen. In diesem Fall so:

 

host/PC-TEST

host/PC-TEST.zweigstelle.firma.de

 

Danach hat sich der nichtdomänen-Client mit dem WLAN verbunden.

 

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...