802.1x Authentifizierung - NPS - RADIUS MAC

Hallo,

ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte.

Als Authentifizierungsmethode habe ich None/RADIUS MAC gewählt und den RADIUS-Server eingetragen, Accounting habe ich ausgelassen, da ich über die Benutzer aus dem AD mich authentifizieren möchte.

Server-Konstellation:

SRV1 | HyperV Host
SRV2 | DC
SRV3 | DHCP
SRV4 | NPS
SRV5 | File+Print

Alle Server wurden mit Windows Server 2012 R2 installiert.

Ich möchte, dass die Geräte (Notebook, (Win7,8,10), MacBook (MacOS X), Smartphone, Tablet (iOS und Android)) über WPA2-Enterprise sich authentifizieren können.

Am DC ist eine Zertifizierungsstelle installiert, das RAS-Zertifikatstemplate habe ich angepasst und automatisch an den NPS ausgerollt.
Das entsprechende selbstsignierte Zertifikat ist in der EAP-Authentifizierung eingetragen.
Die Benutzer-Authentifizierung soll über MSCHAPv2 passieren.
Das Zertifikat ist als vertrauenswürdige Vertrauensstellung am Client installiert, macht aber keinen Unterschied, ob installiert oder nicht.

Am NPS habe ich entsprechende Richtlinien angelegt und das Subnet der Access Point eingetragen.
Es sollen sich z.B. alle User einer Gruppe am NPS anmelden dürfen.
Die Authentifizierung habe ich an der Firewall bereits mitgehorcht und die Pakete kommen bis zum RADIUS und auch wieder retour zum Client bzw. Access-Point.

Am Client (Windows 7x64 Pro) habe ich manuell ein entsprechendes WLAN-Profil angelegt und die Benutzer-Daten eingetragen.
Am NPS erhalte ich bei der Authentifizierung folgende Fehlermeldung.

*
Ereignis 6273 Ursachencode 16:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: 94659cfac18e
Kontodomäne: TEST
Vollqualifizierter Kontoname: TEST\94659cfac18e

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 50-60-28-34-7A-B1:TEST
Anrufer-ID: 94-65-9C-FA-C1-8E

NAS:
NAS-IPv4-Adresse: 172.16.99.101
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: -

RADIUS-Client:
Clientanzeigenname: XIRRUS
Client-IP-Adresse: 172.16.99.101

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: XIRRUS WiFi
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: S-TEST-4.TEST.local
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
*

Es fällt auf, dass sich nicht der Benutzer versucht zu authentifizieren sondern die MAC-Adresse des Adapters von dem verbunden wird.
Dann ist auch klar, dass er keine Anmeldedaten im AD findet.

Diesen Authentifizierungsfehler erhalte ich von allen Geräten, die versuchen sich anzumelden, d.h. getestet wurde Windows 7x64 Pro, Android und iOS 10.

Die Geräte werden nicht als Computerkonten im AD geführt und das soll auch so bleiben, mitunter ist auf den Geräte auch ein anderer Benutzer, als für die Authentifizierung notwendig ist, am Gerät angemeldet. Das überschreibe ich aber in den Einstellungen des jeweiligen WLAN-Profils.

Zur Netzwerkwerk-Konfiguration:

An der Firewall gibt es drei pysische Interfaces (WAN, LAN, WLAN).
WAN | Internet
LAN | Dort befinden sich die Server, die Pakete gehen Untagged raus, also keine Layer-2 Switches, also unmanaged.
WLAN | VirtualSwitch mit VLANs

WLAN | VLAN1 : Management für die Access Points und den Switch, wo die Access Points angeschlossen sind.
WLAN | VLAN100: VLAN für SSID1, nennen wir sie Eltern.
WLAN | VLAN101: VLAN für SSID2, das ist unser Test, nennen wir sie Kinder
WLAN | VLAN200: VLAN für SSID3, nennen wir sie Gäste.

Am Switch sind die jeweiligen Ports zur Firewall und zu den AccessPoint als Trunk-Ports konfiguriert, Untagged im VLAN1, Tagged im VLAN100,101,200.

Entsprechende Policies gibt es auf der Firewall, die die Pakete richtig im Netzwerk verteilen.
Das klappt alles.

Warum versucht der Client, obwohl die Benutzerdaten übergeben werden, sich mittels MAC-Adresse am NPS anzumelden?

Vlt. hat jemand eine Idee, ich habe mittlerweile schon einige Stunden Freizeit in diese Geschichte investiert und bin ehrlich gesagt, mit meinem Wissen am Ende.

Bitte um Hilfe.

Danke