camouflagge99
Goto Top

Client und Server-Authentifizierung NPS

Hi,

der Ablauf einer Client und Server-Authentifizierung läuft ja so ab, dass der CA ein Clientzertifikat erstellt für den Windows Server (NPS) und dem Client in der Domaine (Computer).
Bei der P(EAP) Authentifizierung dachte ich jetzt, dass der Computer den Clientzertifikat vom Windows Server bekommt damit er ihn vertraut, andersherum verlangt der NPS jetzt ein Clientzertifikat vom Computer. Wenn diese geschehen ist und beide sich vertrauen, ist die Authentifizierung abgeschlossen.

Ich weis nicht wieso, aber bei mir scheint sich irgendwie nur der Server zu authentifizieren brauchen damit die Verbindung steht. Wie mache ich, dass der Client sein Zertifikat auch authentifizieren lässt und wie oder wo kann ich das genau nachschauen?

Bei der MMC in Zertifikaten sehe ich ja, dass der Client ein Zertifikat hat.

Content-ID: 2692574969

Url: https://administrator.de/contentid/2692574969

Ausgedruckt am: 25.11.2024 um 11:11 Uhr

camouflagge99
camouflagge99 05.05.2022 um 10:45:24 Uhr
Goto Top
Zudem ich mich mit meinem privaten Handy in das WLAN einloggen kann, kann ja nicht stimmen, weil mein Handy wohl kein Zertifikat hat. Ich muss lediglich das Zertifikat vom Server genehmigen und mein Domain Anmeldedaten angeben. Daraus folgere ich, dass mein iPhone kein Zertifikat dem Server zum Authentifizieren gegeben hat, wie auch, er hat ja keins..
camouflagge99
camouflagge99 05.05.2022 um 12:05:13 Uhr
Goto Top
Und ich habe meinem Client mal das Zertifikat gelöscht, klappt trotzdem mit der Anmeldung..
colinardo
colinardo 05.05.2022 aktualisiert um 12:40:39 Uhr
Goto Top
Servus.
Dein Fehler! Wenn du dem NPS sagst er soll den User einfach so rein lassen wundert das nicht face-smile. Hier dein Screenshot ...

screenshot

Bei der P(EAP) Authentifizierung dachte ich jetzt, dass der Computer den Clientzertifikat vom Windows Server bekommt damit er ihn vertraut, andersherum verlangt der NPS jetzt ein Clientzertifikat vom Computer. Wenn diese geschehen ist und beide sich vertrauen, ist die Authentifizierung abgeschlossen.
Nein du wirfst da ein paar Begrifflichkeiten durcheinander, der Server präsentiert dem Client den öffentlichen Teil seines Server-Zertifikats, welches der Client mit den ihm vertrauswürdigen CAs in der Certificate Chain abgleicht und nur akzeptiert sofern es gültig ist. Des weiteren fordert der NPS ebenfalls vom Client seinerseits ein Computer- oder User-Zertifikat an das von einer bestimmten CA ausgestellt sein muss und die CRL Prüfung auch nicht negativ ausfällt damit es vom NPs akzeptiert wird und dieser anschließend sein AccessAccept an den Authenticator sendet.
Achtung wenn man Zertifikate zurückzieht, dann sollte man die "gecachten Authentifizerungen" des NPS beachten!
Da dieser Clients bei zurückgezogenen Zertifikaten sonst weiterhin rein lässt wenn man die TLS-Handle-Ablaufzeit nicht passend konfiguriert hat.
Verwalten von mit NPS verwendeten Zertifikaten
Bei Sicherheitsvorfällen ist ein vorübergehendes Deaktivieren des User-Kontos und anschließendes Zurückziehen des Certs immer noch am sichersten.

Grüße Uwe
camouflagge99
camouflagge99 05.05.2022 um 13:47:14 Uhr
Goto Top
Hi,

das habe ich natürlich umgestellt :D dennoch kann ich mit meinem privaten Handy mich einloggen.. wie gesagt kann ich den Zertifikat vom Server annehmen, mich mit meinem Domain User einloggen und die Verbindung steht..
ich vermute irgendeine Einstellung oder so habe ich vergessen anzuticken.. aber ich weis nicht welche..

Zur Demonstrierung:
CA Server - NPS - Client
auf dem NPS und dem Client sind Computerzertifikate drauf.
NPS hat einzige Voraussetzung Windows Gruppe zu sein, sonst alles auf Standard per P(EAP. Beim Screenshot ist da auch MS-CHAP-v2 ausgewählt. Wenn ich das entferne klappt die Verbindung nicht.
asd

"Keine Verbindung mit diesem Netzwerk möglich" sagt er bei der SSID.
colinardo
colinardo 05.05.2022 aktualisiert um 13:59:10 Uhr
Goto Top
Beim Screenshot ist da auch MS-CHAP-v2 ausgewählt. Wenn ich das entferne klappt die Verbindung nicht.
Das ist ebenso falsch, die Methode "Secured Password (EAP-MSCHAPv2)" musst du entfernen und dort stattdessen "Smartcard- oder anderes Zertifikat" als Methode angeben, du willst den Computer ja mit Zertifikat autorisieren lassen und nicht via MS-Chapv2 mit Benutzername und Passwort!

So muss das aussehen:

screenshot

screenshot

Computer-Konten natürlich Mitglieder der Gruppe.
camouflagge99
camouflagge99 05.05.2022 um 14:24:30 Uhr
Goto Top
Zitat von @colinardo:

Beim Screenshot ist da auch MS-CHAP-v2 ausgewählt. Wenn ich das entferne klappt die Verbindung nicht.
Das ist ebenso falsch, die Methode "Secured Password (EAP-MSCHAPv2)" musst du entfernen und dort stattdessen "Smartcard- oder anderes Zertifikat" als Methode angeben, du willst den Computer ja mit Zertifikat autorisieren lassen und nicht via MS-Chapv2 mit Benutzername und Passwort!

So muss das aussehen:

screenshot

screenshot

Computer-Konten natürlich Mitglieder der Gruppe.

Hi,

getan und funktioniert nicht:
" Die Verbindung ist nicht möglich, weil die Anmeldeinformationen für Gerät und Netzwerk nicht kompatibel sind."
Bedingungen habe ich noch NAS Port Type " Wireless 802.11" OR "Wireless Other". Habs aber auch entfernt und damit probiert, das gleiche.
colinardo
colinardo 05.05.2022 aktualisiert um 14:41:08 Uhr
Goto Top
Dann ist deine GPO-WIreless-Richtlinie fehlerhaft und du hast die Tutorials nicht zu 100% befolgt.
Ein funktionsfähiges Setup kannst du dir bei mir bei Bedarf gerne anschauen.

Beachte das Bei Änderungen an der Computer-GPO ein Reboot des Clients durchgführt werden sollte damit die Policy vollständig greift!

screenshot

screenshot
camouflagge99
camouflagge99 05.05.2022 aktualisiert um 14:36:48 Uhr
Goto Top
Zitat von @colinardo:

Dann ist deine GPO-WIreless-Richtlinie fehlerhaft und du hast die Tutorials nicht zu 100% befolgt.
Ein funktionsfähiges Setup kannst du dir bei mir bei Bedarf gerne anschauen.

Beachte das Bei Änderungen an der Computer-GPO ein Reboot des Clients durchgführt werden sollte damit die Policy vollständig greift!

Hi, wo kann ich dein Setup anschauen?

reicht da nicht gpupdate /force ? Und kannst du die genaueren Einstellungen anzeigen was du du gemacht hast bei der gpo? Edit: langsam kommt alles :D

Ist viel verlangt ich weiß, aber können wir vielleicht mal privat chatten, damit ich dir mein ganzes "Setup" zeigen kann? Ich bin etwas verzweifelt, weil das zu meinem Abschlussprojekt gehört und ich nicht weiter weiß :/
colinardo
colinardo 05.05.2022 aktualisiert um 14:47:47 Uhr
Goto Top
Zitat von @camouflagge99:
Hi, wo kann ich dein Setup anschauen?
Via AnyDesk Screenshare bspw.
reicht da nicht gpupdate /force ?
Nein, nicht für alle Settings des Wireless Profils, ein Neustart behebt oftmals einige Fehler die auftreten wenn man nicht neu startet.
Ist viel verlangt ich weiß, aber können wir vielleicht mal privat chatten, damit ich dir mein ganzes "Setup" zeigen kann? Ich bin etwas verzweifelt, weil das zu meinem Abschlussprojekt gehört und ich nicht weiter weiß :/
Sende mit deine AnyDesk ID per PN dann schicke ich dir einen Einladungslink
camouflagge99
camouflagge99 05.05.2022 um 14:50:42 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:
Hi, wo kann ich dein Setup anschauen?
Via AnyDesk Screenshare bspw.
reicht da nicht gpupdate /force ?
Nein, nicht für alle Settings des Wireless Profils, ein Neustart behebt oftmals einige Fehler die auftreten wenn man nicht neu startet.
Ist viel verlangt ich weiß, aber können wir vielleicht mal privat chatten, damit ich dir mein ganzes "Setup" zeigen kann? Ich bin etwas verzweifelt, weil das zu meinem Abschlussprojekt gehört und ich nicht weiter weiß :/
Sende mit deine AnyDesk ID per PN dann schicke ich dir einen Einladungslink

hey vielleicht ist das noch gar nicht nötig. Auf meinem Client, DomainComputer, hat es funktioniert.
Jetzt frage ich mich wie das mit den iPhones sind.. da bin ich leider noch nicht informiert, wie die Clientzertifikate überhaupt draufkommen sollen, ich muss erstmal schauen. Kollege meinte schon über MDM, aber hatte damit noch nichts zu tun gehabt XD
camouflagge99
camouflagge99 05.05.2022 um 14:54:54 Uhr
Goto Top
Weißt du vielleicht was in der GPO eingestellt werden muss damit ich das WLAN Profil aufm Client löschen kann, also die Option " Nicht speichern".. denn die ist ausgegraut.
colinardo
colinardo 05.05.2022 aktualisiert um 15:08:36 Uhr
Goto Top
Zitat von @camouflagge99:

Weißt du vielleicht was in der GPO eingestellt werden muss damit ich das WLAN Profil aufm Client löschen kann, also die Option " Nicht speichern".. denn die ist ausgegraut.
Du brauchst da nichts löschen denn wenn die GPO nicht mehr greift wird das Profil automatisch wieder entfernt.

S. auch Ergänzung für das Wireless-Profil in der GPO (Bilder oben).

Jetzt frage ich mich wie das mit den iPhones sind.. da bin ich leider noch nicht informiert, wie die Clientzertifikate überhaupt draufkommen sollen.
Über https://support.apple.com/de-de/apple-configurator ein Profil mit eigener CA und Client-Zertifikat erstellen und auf das Telefon deployen.
Es gibt auch noch die ältere Version vom iPhone Configuration Utility damit lässt sich auch eine *.mobileconfig erstellen welche man am iPhone importieren kann.

screenshot
camouflagge99
camouflagge99 05.05.2022 um 15:14:42 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:

Weißt du vielleicht was in der GPO eingestellt werden muss damit ich das WLAN Profil aufm Client löschen kann, also die Option " Nicht speichern".. denn die ist ausgegraut.
Du brauchst da nichts löschen denn wenn die GPO nicht mehr greift wird das Profil automatisch wieder entfernt.

S. auch Ergänzung für das Wireless-Profil in der GPO (Bilder oben).

Jetzt frage ich mich wie das mit den iPhones sind.. da bin ich leider noch nicht informiert, wie die Clientzertifikate überhaupt draufkommen sollen.
Über https://support.apple.com/de-de/apple-configurator ein Profil mit eigener CA und Client-Zertifikat erstellen und auf das Telefon deployen.
Es gibt auch noch die ältere Version vom iPhone Configuration Utility damit lässt sich auch eine *.mobileconfig erstellen welche man am iPhone importieren kann.

screenshot

Eine Frage noch, kann ich dden Prozess der Authentifizierung überprüfen? Also in nem Log einsehen, dass quasi beidseitiger Authen. Prozess abgelaufen ist und nicht nur einseitig? Ich will zu 100% sichergehen, dass der Clientzertifikat überprüft wurde. Danke schonmal!
colinardo
colinardo 05.05.2022 um 15:23:04 Uhr
Goto Top
Zitat von @camouflagge99:
Eine Frage noch, kann ich dden Prozess der Authentifizierung überprüfen? Also in nem Log einsehen, dass quasi beidseitiger Authen. Prozess abgelaufen ist und nicht nur einseitig?
Protokollierung des NPS aktivieren.
Ich will zu 100% sichergehen, dass der Clientzertifikat überprüft wurde. Danke schonmal!
Wenn du die NPS Richtlinie richtig eingestellt hast gibt es dafür keinen Grund mehr denn dann kommt aus Prinzip erst gar keine Verbindung zu stande! Du kannst dich natürlich auch üer Wireshark dazwischen klemmen und den Traffic beobachten, aber ehrlich gesagt überflüssig, der Prozess ist wasserdicht.
camouflagge99
camouflagge99 05.05.2022 um 15:32:26 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:
Eine Frage noch, kann ich dden Prozess der Authentifizierung überprüfen? Also in nem Log einsehen, dass quasi beidseitiger Authen. Prozess abgelaufen ist und nicht nur einseitig?
Protokollierung des NPS aktivieren.
Ich will zu 100% sichergehen, dass der Clientzertifikat überprüft wurde. Danke schonmal!
Wenn du die NPS Richtlinie richtig eingestellt hast gibt es dafür keinen Grund mehr denn dann kommt aus Prinzip erst gar keine Verbindung zu stande! Du kannst dich natürlich auch üer Wireshark dazwischen klemmen und den Traffic beobachten, aber ehrlich gesagt überflüssig, der Prozess ist wasserdicht.

alles klar. Noch eine Frage, sorry face-sad
Wir nutzen Intunes für die iPhones.
Kann ich aber erstmal zum Testen ein Clientzertifikat so auf mein iPhone installieren/importieren ohne die APP?
Wenn ja wie?
colinardo
colinardo 05.05.2022 aktualisiert um 20:44:00 Uhr
Goto Top
Zitat von @camouflagge99:
Wir nutzen Intunes für die iPhones.
Na dann ist das ja ein Klacks
Hinzufügen von WLAN-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Kann ich aber erstmal zum Testen ein Clientzertifikat so auf mein iPhone installieren/importieren ohne die APP?
Wenn ja wie?
Fordere ein Benutzerzertifikat von deiner CA an (Wichtig, in der Vorlage muss die Option für den Export des privaten Schlüssels aktiviert sein!). Dann exportierst du das Zertifikat aus dem Zertifikatsspeicher inklusive private Key in einen *.pfx Container.

Dann musst du noch eine *.mobileconfig XML-Dateien erstellen, die kann ein iPhone auch direkt ausführen und somit das Wireless Profil konfigurieren.

iPhone Config Utility

Beachte das das dann ein Benutzer-Zertifikat ist also die GPO Richtlinie auch Benutzer-Login mit Zertifikat zulassen muss. Ebenso die NPS Richtlinie muss auf User ausgerichtet sein, also eine Gruppe die User enthalten nicht die Computer.

p.s. so eine *.mobileconfig Datei sieht ähnlich wie diese aus wenn es dich interessiert

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">  
<plist version="1.0">  
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>AutoJoin</key>
			<true/>
			<key>EAPClientConfiguration</key>
			<dict>
				<key>AcceptEAPTypes</key>
				<array>
					<integer>25</integer>
				</array>
				<key>EAPFASTProvisionPAC</key>
				<false/>
				<key>EAPFASTProvisionPACAnonymously</key>
				<false/>
				<key>EAPFASTUsePAC</key>
				<false/>
				<key>PayloadCertificateAnchorUUID</key>
				<array>
					<string>4F11025D-355D-495D-BD88-AC0809027CD4</string>
				</array>
				<key>TLSTrustedServerNames</key>
				<array>
					<string>srv.testlab.intern</string>
				</array>
			</dict>
			<key>EncryptionType</key>
			<string>WPA</string>
			<key>HIDDEN_NETWORK</key>
			<false/>
			<key>PayloadCertificateUUID</key>
			<string>27BB8DAB-F355-446C-A894-7D51EE1CB42F</string>
			<key>PayloadDescription</key>
			<string>Configures wireless connectivity settings.</string>
			<key>PayloadDisplayName</key>
			<string>WiFi ()</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.wifi1</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.wifi.managed</string>
			<key>PayloadUUID</key>
			<string>554CF156-D893-49D5-9EAF-37751E19033F</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>ProxyType</key>
			<string>None</string>
			<key>SSID_STR</key>
			<string>MySSID</string>
		</dict>
		<dict>
			<key>PayloadCertificateFileName</key>
			<string>TESTLAB-CA</string>
			<key>PayloadContent</key>
			<data>

------------------- Zertifikatsdaten entfernt --------------------

			</data>
			<key>PayloadDescription</key>
			<string>Provides device authentication (certificate or identity).</string>
			<key>PayloadDisplayName</key>
			<string>TESTLAB-SRV2022-CA</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.credential2</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.security.root</string>
			<key>PayloadUUID</key>
			<string>4F11025D-355D-495D-BD88-AC0809027CD4</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>PayloadCertificateFileName</key>
			<string>mmuster@testlab.intern</string>
			<key>PayloadContent</key>
			<data>
			
------------------- Zertifikatsdaten entfernt --------------------

			</data>
			<key>PayloadDescription</key>
			<string>Provides device authentication (certificate or identity).</string>
			<key>PayloadDisplayName</key>
			<string>mmuster@testlab.intern</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.credential3</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.security.pkcs12</string>
			<key>PayloadUUID</key>
			<string>27BB8DAB-F355-446C-A894-7D51EE1CB42F</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Profilbeschreibung.</string>
	<key>PayloadDisplayName</key>
	<string>Testlab_Profile</string>
	<key>PayloadIdentifier</key>
	<string>intern.testlab.testlab_profile</string>
	<key>PayloadOrganization</key>
	<string></string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>BA9C1A6D-EA3A-4666-B474-48053FC9E0E2</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>
camouflagge99
camouflagge99 05.05.2022 aktualisiert um 20:45:58 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:
Wir nutzen Intunes für die iPhones.
Na dann ist das ja ein Klacks
Hinzufügen von WLAN-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

Kann ich aber erstmal zum Testen ein Clientzertifikat so auf mein iPhone installieren/importieren ohne die APP?
Wenn ja wie?
Fordere ein Benutzerzertifikat von deiner CA an (Wichtig, in der Vorlage muss die Option für den Export des privaten Schlüssels aktiviert sein!). Dann exportierst du das Zertifikat aus dem Zertifikatsspeicher inklusive private Key in einen *.pfx Container.

Dann musst du noch eine *.mobileconfig XML-Dateien erstellen, die kann ein iPhone auch direkt ausführen und somit das Wireless Profil konfigurieren.

iPhone Config Utility

Beachte das das dann ein Benutzer-Zertifikat ist also die GPO Richtlinie auch Benutzer-Login mit Zertifikat zulassen muss. Ebenso die NPS Richtlinie muss auf User ausgerichtet sein, also eine Gruppe die User enthalten nicht die Computer.

p.s. so eine *.mobileconfig Datei sieht ähnlich wie diese aus wenn es dich interessiert

<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">  
<plist version="1.0">  
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>AutoJoin</key>
			<true/>
			<key>EAPClientConfiguration</key>
			<dict>
				<key>AcceptEAPTypes</key>
				<array>
					<integer>25</integer>
				</array>
				<key>EAPFASTProvisionPAC</key>
				<false/>
				<key>EAPFASTProvisionPACAnonymously</key>
				<false/>
				<key>EAPFASTUsePAC</key>
				<false/>
				<key>PayloadCertificateAnchorUUID</key>
				<array>
					<string>4F11025D-355D-495D-BD88-AC0809027CD4</string>
				</array>
				<key>TLSTrustedServerNames</key>
				<array>
					<string>srv.testlab.intern</string>
				</array>
			</dict>
			<key>EncryptionType</key>
			<string>WPA</string>
			<key>HIDDEN_NETWORK</key>
			<false/>
			<key>PayloadCertificateUUID</key>
			<string>27BB8DAB-F355-446C-A894-7D51EE1CB42F</string>
			<key>PayloadDescription</key>
			<string>Configures wireless connectivity settings.</string>
			<key>PayloadDisplayName</key>
			<string>WiFi ()</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.wifi1</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.wifi.managed</string>
			<key>PayloadUUID</key>
			<string>554CF156-D893-49D5-9EAF-37751E19033F</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>ProxyType</key>
			<string>None</string>
			<key>SSID_STR</key>
			<string>MySSID</string>
		</dict>
		<dict>
			<key>PayloadCertificateFileName</key>
			<string>TESTLAB-CA</string>
			<key>PayloadContent</key>
			<data>

------------------- Zertifikatsdaten entfernt --------------------

			</data>
			<key>PayloadDescription</key>
			<string>Provides device authentication (certificate or identity).</string>
			<key>PayloadDisplayName</key>
			<string>TESTLAB-SRV2022-CA</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.credential2</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.security.root</string>
			<key>PayloadUUID</key>
			<string>4F11025D-355D-495D-BD88-AC0809027CD4</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
		<dict>
			<key>PayloadCertificateFileName</key>
			<string>mmuster@testlab.intern</string>
			<key>PayloadContent</key>
			<data>
			
------------------- Zertifikatsdaten entfernt --------------------

			</data>
			<key>PayloadDescription</key>
			<string>Provides device authentication (certificate or identity).</string>
			<key>PayloadDisplayName</key>
			<string>mmuster@testlab.intern</string>
			<key>PayloadIdentifier</key>
			<string>intern.testlab.testlab_profile.credential3</string>
			<key>PayloadOrganization</key>
			<string></string>
			<key>PayloadType</key>
			<string>com.apple.security.pkcs12</string>
			<key>PayloadUUID</key>
			<string>27BB8DAB-F355-446C-A894-7D51EE1CB42F</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Profilbeschreibung.</string>
	<key>PayloadDisplayName</key>
	<string>Testlab_Profile</string>
	<key>PayloadIdentifier</key>
	<string>intern.testlab.testlab_profile</string>
	<key>PayloadOrganization</key>
	<string></string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>BA9C1A6D-EA3A-4666-B474-48053FC9E0E2</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

das manuell installierte Zertifikat hat leider nicht geklappt, er sagt konnte keine Verbindung herstellen.
Btw, musst du dich beim iPhone auch noch mit Username/Passwort anmelden? Bei mir war das so.
Zu der Zertifikatsvorlage konnte ich jetzt nur eine S/MIME als Zertifikat auswählen, muss ich da nochmal extra eine erstellen für Computerzertifikat?
Und das Zertifikat wo erstellst du es? Ich habe es einfach in der mmc Konsole bei Benutzerzertifikaten und bei Zertifikaten ein neues angefordert und dieses exportiert.
Und kann es sein, dass unser aktuelles Intune es noch nicht richtig erlaubt? Weil da ist noch kein P(EAP) etc. eingestellt, falls das notwendig ist.
Da ist wahrscheinlich Mac-Adressen Authentifizierung drauf, da das unsere aktuelle SSID so macht.
colinardo
colinardo 05.05.2022 aktualisiert um 20:38:41 Uhr
Goto Top
Zitat von @camouflagge99:
das manuell installierte Zertifikat hat leider nicht geklappt, er sagt konnte keine Verbindung herstellen.
Doch das klappt über eine Mobileconfig Datei s. oben ...
Btw, musst du dich beim iPhone auch noch mit Username/Passwort anmelden? Bei mir war das so.
Nein, wozu sonst das Client-Zertifikat dafür ist das ja da face-smile. Dann hast du fälschlicherweise MS-CHAP als methode ausgewählt statt EAP-TLS.
Zu der Zertifikatsvorlage konnte ich jetzt nur eine S/MIME als Zertifikat auswählen, muss ich da nochmal extra eine erstellen für Computerzertifikat?
Du musst eine neue Benutzervorlage für den User erstellen mit seinem UPN als Common Name und als SAN (mit o.g. Settings für den private Key) , mit Computerzertifikaten kann das iPhone nichts anfangen da es nicht Mitglied der Domäne ist und kein Computer-Konto in der Domäne existiert!
Benutzer und Computer-Auth sind zwei völlig unterschiedliche paar Schuhe, das solltest du immer im Hinterkopf haben!
Und das Zertifikat wo erstellst du es? Ich habe es einfach in der mmc Konsole bei Benutzerzertifikaten und bei Zertifikaten ein neues angefordert und dieses exportiert.
Kannst du so machen.
Und kann es sein, dass unser aktuelles Intune es noch nicht richtig erlaubt? Weil da ist noch kein P(EAP) etc. eingestellt, falls das notwendig ist.
Kann ich nicht sagen, habe ich hier nicht. Wenn Ihr da natürlich bereits eine Provisioning-Richtlinie für die Geräte angewendet habt und nicht erlaubt das der User selbst ein Profil hinzufügen kann ist dann kann das natürlich nicht funktionieren wenn da das falsche Authentifizierungs-Schema drin steht.
camouflagge99
camouflagge99 05.05.2022 aktualisiert um 20:39:35 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:
das manuell installierte Zertifikat hat leider nicht geklappt, er sagt konnte keine Verbindung herstellen.
Doch das klappt über eine Mobileconfig Datei s. oben ...
Btw, musst du dich beim iPhone auch noch mit Username/Passwort anmelden? Bei mir war das so.
Nein, wozu sonst das Client-Zertifikat dafür ist das ja da face-smile. Dann hast du fälschlicherweise MS-CHAP als methode ausgewählt statt EAP-TLS.
Zu der Zertifikatsvorlage konnte ich jetzt nur eine S/MIME als Zertifikat auswählen, muss ich da nochmal extra eine erstellen für Computerzertifikat?
Du musst eine neue Benutzervorlage für den User erstellen mit seinem UPN als Common Name und als SAN (mit o.g. Settings für den private Key) , mit Computerzertifikaten kann das iPhone nichts anfangen da es nicht Mitglied der Domäne ist und kein Computer-Konto in der Domäne existiert!
Benutzer und Computer-Auth sind zwei völlig unterschiedliche paar Schuhe, das solltest du immer im Hinterkopf haben!
Und das Zertifikat wo erstellst du es? Ich habe es einfach in der mmc Konsole bei Benutzerzertifikaten und bei Zertifikaten ein neues angefordert und dieses exportiert.
Kannst du so machen.
Und kann es sein, dass unser aktuelles Intune es noch nicht richtig erlaubt? Weil da ist noch kein P(EAP) etc. eingestellt, falls das notwendig ist.
Kann ich nicht sagen, habe ich hier nicht. Wenn Ihr da natürlich bereits eine Provisioning-Richtlinie für die Geräte angewendet habt und nicht erlaubt das der User selbst ein Profil hinzufügen kann ist dann kann das natürlich nicht funktionieren wenn da das falsche Authentifizierungs-Schema drin steht.

wo soll ich fälschlicherweise MS-CHAP ausgewählt haben? im NPS ist es richtig.
Ich habe dort auch eine Windows Gruppe, da können doch Benutzer und Computer rein oder?
Kannst du mir deine Zertifikatvorlage mal zeigen für Benutzer? Und wo man dann beim iPhone einsehen kann, dass das Zertifikat auch wirklich installiert ist?
colinardo
colinardo 05.05.2022 aktualisiert um 17:37:40 Uhr
Goto Top
Zitat von @camouflagge99:
wo soll ich fälschlicherweise MS-CHAP ausgewählt haben? im NPS ist es richtig.
Am Eierfön.
Ich habe dort auch eine Windows Gruppe, da können doch Benutzer und Computer rein oder?
Kann man machen, ich trenne das aber i.d. Regel in zwei Gruppen auf da hat an mehr Kontrolle.
Kannst du mir deine Zertifikatvorlage mal zeigen für Benutzer?
Da ist nichts besonderes bei, hier die wichtigsten,

screenshot

screenshot

Wenn der User der auch das Zertifikat bekommen soll es anfordern soll dann die Infos aus dem AD ziehen,

screenshot


Wenn du aber stattdessen selbst mit einem Service-Account User-Zertifikate ausstellen willst dann nimmst du die Option Informationen werden in der Anforderung angegeben und gibst den UPN des Users als CommonName und als SAN an. Der Service-Account der das Cert anfordert muss natürlich auf dem Reiter Sicherheit Registrierungsrechte bekommen, und dann nicht vergessen den Domänen-Benutzern das Recht fürs Registrieren zu nehmen.

screenshot

screenshot

screenshot

Und wo man dann beim iPhone einsehen kann, dass das Zertifikat auch wirklich installiert ist?
Allgemein > Profile
https://support.apple.com/de-de/guide/iphone/iph6c493b19/ios
https://support.apple.com/en-us/HT204477
https://frameboxxindore.com/linux/how-do-i-view-certificates-in-ios.html
camouflagge99
camouflagge99 09.05.2022 aktualisiert um 13:41:14 Uhr
Goto Top
kurz eine andere Richtung, habe einen 2. Server installiert und NPS auch hinzugefügt. Dennoch komm ich nicht auf den "Network Policy Server", also das Tool wird mir gar nicht angezeigt.. weißt du warum?
Und noch was, wieso funktioniert das eigentlich nicht mit PEAP sondern nur mit "SmartCard oder andere Zertifikate"? bei den Einstellungen im NPS jetzt...Ich dachte immer PEAP wäre das mit Zertifikaten..
colinardo
colinardo 09.05.2022 aktualisiert um 14:36:56 Uhr
Goto Top
Zitat von @camouflagge99:

kurz eine andere Richtung, habe einen 2. Server installiert und NPS auch hinzugefügt. Dennoch komm ich nicht auf den "Network Policy Server", also das Tool wird mir gar nicht angezeigt.. weißt du warum?
Unvollständig installiert oder Server nicht neu gestartet. Kann ich hier nicht sehen was du gemacht hast.
Und noch was, wieso funktioniert das eigentlich nicht mit PEAP sondern nur mit "SmartCard oder andere Zertifikate"? bei den Einstellungen im NPS jetzt...Ich dachte immer PEAP wäre das mit Zertifikaten..
Doch das funktoniert einwandfrei, wenn nicht dann hast du deine GPO falsch erstellt und dort nicht PEAP mit der Verwendung von Zertifikaten hinterlegt, hier ist penibel auf alles zu achten ein Fehler verhaut dir alles.
Das sind zwei unterschiedliche Varianten "PEAP mit hinterlegtem Zertifikat" oder "SmartCard oder andere Zertifikate". Beide können mit Zertifikaten umgehen, PEAP aber auch mit MS-Chap&Co. sind aber völlig andere Verfahren, wenn du das eine in der GPO hinterlegst und am NPS nicht dann funktioniert das natürlich nicht.

Siehe Setup oben zweiter Screenshot
Client und Server-Authentifizierung NPS

Wenns das dann war, den Beitrag bitte noch auf gelöst setzen, und Lösungen markieren. Merci.
camouflagge99
camouflagge99 09.05.2022 um 15:10:02 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:

kurz eine andere Richtung, habe einen 2. Server installiert und NPS auch hinzugefügt. Dennoch komm ich nicht auf den "Network Policy Server", also das Tool wird mir gar nicht angezeigt.. weißt du warum?
Unvollständig installiert oder Server nicht neu gestartet. Kann ich hier nicht sehen was du gemacht hast.
Und noch was, wieso funktioniert das eigentlich nicht mit PEAP sondern nur mit "SmartCard oder andere Zertifikate"? bei den Einstellungen im NPS jetzt...Ich dachte immer PEAP wäre das mit Zertifikaten..
Doch das funktoniert einwandfrei, wenn nicht dann hast du deine GPO falsch erstellt und dort nicht PEAP mit der Verwendung von Zertifikaten hinterlegt, hier ist penibel auf alles zu achten ein Fehler verhaut dir alles.
Das sind zwei unterschiedliche Varianten "PEAP mit hinterlegtem Zertifikat" oder "SmartCard oder andere Zertifikate". Beide können mit Zertifikaten umgehen, PEAP aber auch mit MS-Chap&Co. sind aber völlig andere Verfahren, wenn du das eine in der GPO hinterlegst und am NPS nicht dann funktioniert das natürlich nicht.

Siehe Setup oben zweiter Screenshot
Client und Server-Authentifizierung NPS

Wenns das dann war, den Beitrag bitte noch auf gelöst setzen, und Lösungen markieren. Merci.

So gesehen hat PEAP einfach noch mehrere Methoden zur Auswahl, wie gesagt die MS-CHAP etc. Aber im Prinzip ist das Verfahren mit den Zertifikaten ,egal ob "PEAP" oder "Smartcard oder Zertifikate", das Gleiche?
Und das Verfahren ist dann welches genau? Am meisten Sinn würde für mich EAP-TLS machen, weil dort beidseitige Authentifizierung mit den Zertifikaten stattfindet oder?
colinardo
colinardo 09.05.2022 aktualisiert um 15:53:57 Uhr
Goto Top
Zitat von @camouflagge99:
Aber im Prinzip ist das Verfahren mit den Zertifikaten ,egal ob "PEAP" oder "Smartcard oder Zertifikate", das Gleiche?
Nicht ganz, es gibt bei der Radius Authentifizierung eine äußere und eine innere Authentifizierung. Bei der wahl von Microsoft: Smartcard oder anderes Zertifikat wird EAP-TLS als äußere Methode angewendet. Bei (P)EAP dagegen wird EAP-TLS als innere Methode verwendet. Das Verfahren an sich ist gleich aber die Ausführung als innere oder äußere Authentifizierungsschicht macht hier den Unterschied, und deswegen kannst du das ein auch nicht so einfach mit der anderen austauschen.
Und das Verfahren ist dann welches genau? Am meisten Sinn würde für mich EAP-TLS machen, weil dort beidseitige Authentifizierung mit den Zertifikaten stattfindet oder?
Japp EAP-TLS basiert auf asymmetrischer Kryptographie.

Hier liest du das alles schwarz auf weiß
Extensible Authentication Protocol (EAP) für den Netzwerkzugriff

EAP-TLS (Transport Layer Security)
EAP-TLS wird als Smartcard- oder andere Zertifikateigenschaften im Betriebssystem angezeigt und kann als innere Methode für PEAP oder als eigenständige EAP-Methode bereitgestellt werden. Bei der Konfiguration als interne Authentifizierungsmethode sind die Konfigurationseinstellungen für EAP-TLS mit denen für die Bereitstellung von EAP-TLS als externe Methode identisch, der einzige Unterschied besteht darin, dass EAP-TLS für die Ausführung innerhalb von PEAP konfiguriert wird.

Grüße Uwe
camouflagge99
camouflagge99 10.05.2022 um 09:48:07 Uhr
Goto Top
Wie siehts bei dir mit nem Cluster aus? Ich habe es mal mit einem 2. Server versucht, aber weis nicht zurecht wie das Ganze vonstatten laufen soll.
Den 2. Server habe ich quasi genauso wie den 1. installiert und konfiguriert. Auf dem WLAN Controller habe ich ihn als 2. Server in der Config eingetragen. Bei einer Verbindung vom Client in das WLAN versucht er jedoch den 1. RADIUS zu erreichen (diesen habe ich zum Test abgeschaltet) und die Verbindung schlägt fehl, weil der den RADIUS nicht erreichen kann.
colinardo
colinardo 10.05.2022 aktualisiert um 09:57:20 Uhr
Goto Top
Zitat von @camouflagge99:

Wie siehts bei dir mit nem Cluster aus? Ich habe es mal mit einem 2. Server versucht, aber weis nicht zurecht wie das Ganze vonstatten laufen soll.
Den 2. Server habe ich quasi genauso wie den 1. installiert und konfiguriert. Auf dem WLAN Controller habe ich ihn als 2. Server in der Config eingetragen. Bei einer Verbindung vom Client in das WLAN versucht er jedoch den 1. RADIUS zu erreichen (diesen habe ich zum Test abgeschaltet) und die Verbindung schlägt fehl, weil der den RADIUS nicht erreichen kann.

Dann hast du entweder in der WiFi GPO den Server explizit hinterlegt, was falsch wäre, oder die Failover-Settings im uns hier unbekannten Controller/AP stimmen nicht (Timeout Parameter beachten).
camouflagge99
camouflagge99 10.05.2022 aktualisiert um 11:06:35 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:

Wie siehts bei dir mit nem Cluster aus? Ich habe es mal mit einem 2. Server versucht, aber weis nicht zurecht wie das Ganze vonstatten laufen soll.
Den 2. Server habe ich quasi genauso wie den 1. installiert und konfiguriert. Auf dem WLAN Controller habe ich ihn als 2. Server in der Config eingetragen. Bei einer Verbindung vom Client in das WLAN versucht er jedoch den 1. RADIUS zu erreichen (diesen habe ich zum Test abgeschaltet) und die Verbindung schlägt fehl, weil der den RADIUS nicht erreichen kann.

Dann hast du entweder in der WiFi GPO den Server explizit hinterlegt, was falsch wäre, oder die Failover-Settings im uns hier unbekannten Controller/AP stimmen nicht (Timeout Parameter beachten).

WIFI GPO sollte passen, habs genau wie bei dir.
1
2

im NPS hast du ja auch Radius Clients Group erstellt und einfach die beiden Radius Server reingesteckt oder?

Andere Frage: Wie läuft das bei Geräten die nicht in der Domäne sind? Wir haben jetzt z.B Handscanner.. gibt die Möglichkeit Zertifikat drauf zu packen, muss noch schauen aber wie, weil der auch kein richtigen Hostnamen hat. Und ob das dann überhaupt möglich ist, wenn er gar nicht Teil der Windows Gruppe ist? uff..
camouflagge99
camouflagge99 10.05.2022 aktualisiert um 12:22:04 Uhr
Goto Top
Dann musst du noch eine *.mobileconfig XML-Dateien erstellen, die kann ein iPhone auch direkt ausführen und somit das Wireless Profil konfigurieren.

iPhone Config Utility
der Download Link führt mich zu Apple. Gibt es ne Möglichkeit ne *mobileconfig XML-Datei auf Windows zu erstellen? Oder muss das auf dem iPhone passieren durch die App? (Intunes ausgenommen)
camouflagge99
camouflagge99 11.05.2022 um 10:10:23 Uhr
Goto Top
Dann hast du entweder in der WiFi GPO den Server explizit hinterlegt, was falsch wäre, oder die Failover-Settings im uns hier unbekannten Controller/AP stimmen nicht (Timeout Parameter beachten).

Ich weis ich nerve, aber ich brauche nur noch, dass der Cluster funktioniert und ich bin fertig face-sad
Ich habe den 1. Server abgeschaltet als Test ob der 2. weiter macht, aber er authentifiziert nicht face-sad geschweige kriegt die Weiterleitung gar nicht vom 1. Wird nur gesagt, dass der 1. nicht erreichbar ist und fertig, wobei ich beim WLAN Controller den 2. als backup eingetragen habe..
colinardo
colinardo 11.05.2022 aktualisiert um 10:57:06 Uhr
Goto Top
Zitat von @camouflagge99:

Dann hast du entweder in der WiFi GPO den Server explizit hinterlegt, was falsch wäre, oder die Failover-Settings im uns hier unbekannten Controller/AP stimmen nicht (Timeout Parameter beachten).

Ich weis ich nerve, aber ich brauche nur noch, dass der Cluster funktioniert und ich bin fertig face-sad

Nein tust du nicht, nur haben wir auch zwischendurch auch noch andere Dinge zu tun (Arbeiten für die man bezahlt wird), und du musst schon Geduld haben, bis du wieder an der Reihe bist! Ich hatte gestern eben absolut keine Zeit... soll auch vorkommen 🙉.

Ich habe den 1. Server abgeschaltet als Test ob der 2. weiter macht, aber er authentifiziert nicht face-sad geschweige kriegt die Weiterleitung gar nicht vom 1. Wird nur gesagt, dass der 1. nicht erreichbar ist und fertig, wobei ich beim WLAN Controller den 2. als backup eingetragen habe..

Ist auch kein Wunder denn wie ich dir oben schon in meinem POst geschrieben habe hättest du dich mal mit den Timeouts beschäftigen müssen, und genau die landen auf deinem Screenshot ganz unten kaum sichtbar. Dies sind mit 20 Sekunden viiiiiiiiiiiiiiiiiiiiiiiiiiiiel zu lang, bis die abgelaufen sind hat der Client schon aufgegeben bevor noch der zweite Radius befragt wird! Hier sollten max. 4 bis 5 Sekunden stehen, wenn überhaupt so lange, bei den heutigen Netzen und Geschwindigkeiten sind das ja schon Ewigkeiten.

screenshot

der Download Link führt mich zu Apple.
Kann ich dir das Paket bei Bedarf als Download bereitstellen.

im NPS hast du ja auch Radius Clients Group erstellt und einfach die beiden Radius Server reingesteckt oder?
Nein, die Gruppen braucht man ehrlich gesagt erst wenn man einen NPs als NPS-Proxy bei sehr großen Deployments einsetzt.
Andere Frage: Wie läuft das bei Geräten die nicht in der Domäne sind? Wir haben jetzt z.B Handscanner.. gibt die Möglichkeit Zertifikat drauf zu packen, muss noch schauen aber wie, weil der auch kein richtigen Hostnamen hat. Und ob das dann überhaupt möglich ist, wenn er gar nicht Teil der Windows Gruppe ist? uff..
Computerauthentifizierung mittels Zertifikaten klappt nur bei Domain-Membership der Geräte, Userzertifikate hingegen funktionieren auch bei Geräten die keine Domain-Member sind. Es hindert dich aber keiner daran für diese Geräte eine zweite NPS Policy anzulegen.
camouflagge99
camouflagge99 11.05.2022 um 10:43:00 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @camouflagge99:

Dann hast du entweder in der WiFi GPO den Server explizit hinterlegt, was falsch wäre, oder die Failover-Settings im uns hier unbekannten Controller/AP stimmen nicht (Timeout Parameter beachten).

Ich weis ich nerve, aber ich brauche nur noch, dass der Cluster funktioniert und ich bin fertig face-sad

Nein tust du nicht, nur haben wir auch zwischendurch auch noch andere Dinge zu tun (Arbeiten für die man bezahlt wird), und du musst schon Geduld haben, bis du wieder an der Reihe bist! Ich hatte gestern eben absolut keine Zeit... soll auch vorkommen 🙉.

Ich habe den 1. Server abgeschaltet als Test ob der 2. weiter macht, aber er authentifiziert nicht face-sad geschweige kriegt die Weiterleitung gar nicht vom 1. Wird nur gesagt, dass der 1. nicht erreichbar ist und fertig, wobei ich beim WLAN Controller den 2. als backup eingetragen habe..

Ist auch kein Wunder denn wie ich dir oben schon in meinem POst geschrieben habe hättest du dich mal mit den Timeouts beschäftigen müssen, und genau die landen auf deinem Screenshot ganz unten kaum sichtbar. Dies sind mit 20 Sekunden viiiiiiiiiiiiiiiiiiiiiiiiiiiiel zu lang, bis die abgelaufen sind hat der Client schon aufgegeben bevor noch der zweite Radius befragt wird! Hier sollten max. 4 bis 5 Sekunden stehen, wenn überhaupt so lange, bei den heutigen Netzen und Geschwindigkeiten sind das ja schon Ewigkeiten.

screenshot

der Download Link führt mich zu Apple.
Kann ich dir das Paket bei Bedarf als Download bereitstellen.

im NPS hast du ja auch Radius Clients Group erstellt und einfach die beiden Radius Server reingesteckt oder?
Nein, die Gruppen braucht man ehrlich gesagt erst wenn man einen NPs als NPS-Proxy bei sehr großen Deployments einsetzt.

haha ja sorry, bin etwas unter Zeitdruck. Danke schonmal VIELMALS, hast mir sowas von geholfen.
Muss man aufm Radius dieses Radius Group eigentlich erstellen? Oder ist das nur damit die sich absprechen wer wie viel übernimmt?
asd

passt das so? Weniger geht leider nicht:
asdasd
colinardo
colinardo 11.05.2022 aktualisiert um 10:54:32 Uhr
Goto Top
Muss man aufm Radius dieses Radius Group eigentlich erstellen?
Habe ich oben noch beantwortet.
haha ja sorry, bin etwas unter Zeitdruck.
Schlecht wenn man sowas ohne die Background zu kennen schnell dahin klatscht. Da sind wohl mal ein paar Nachtschichten nötig face-wink.
passt das so? Weniger geht leider nicht:
Lies dir die Doku des Herstellers durch dann verstehst du hinterher auch die dort gezeigten Optionen und für was sie stehen. Das ist die Hauptvoraussetzung für das Verständnis des ganzen.

Wenns das dann war, den Beitrag bitte noch auf gelöst setzen, und Lösungen markieren. Merci.
camouflagge99
camouflagge99 12.05.2022 aktualisiert um 11:13:12 Uhr
Goto Top
Zitat von @colinardo:

Muss man aufm Radius dieses Radius Group eigentlich erstellen?
Habe ich oben noch beantwortet.
haha ja sorry, bin etwas unter Zeitdruck.
Schlecht wenn man sowas ohne die Background zu kennen schnell dahin klatscht. Da sind wohl mal ein paar Nachtschichten nötig face-wink.
passt das so? Weniger geht leider nicht:
Lies dir die Doku des Herstellers durch dann verstehst du hinterher auch die dort gezeigten Optionen und für was sie stehen. Das ist die Hauptvoraussetzung für das Verständnis des ganzen.

Wenns das dann war, den Beitrag bitte noch auf gelöst setzen, und Lösungen markieren. Merci.

Danke.
Eine Frage hätte ich noch: Was ist der Unterschied zwischen wenn ich ein Windows Cluster erstelle oder so ein 2. Server einfach als Backup nehme. Ich dachte das wäre das Gleiche. Wenn der 1. Server ausfällt, bei meinem Backup jetzt, müssen die Clients die mit dem 1. Server bereits authentifiziert waren, den Prozess mit dem 2. neu durchführen oder teilen sich die Server da ne Datenbank oder sowas? Ich würde gerne mehr ins Detail gehen, was die Server vom Client speichern und wo. Hast du da vllt ne gute Informationsquelle?
Und wofür ist das Accounting wirklich gut? Was kann man damit alles machen? Ich hatte es jetzt nur als Logs in nem Textdokument verwendet. Steckt dahinter viel mehr?
Mir kommen immer mehr Fragen in den Sinn.. sorry face-sad Da ich den 2. Server nur als "Backup" im Wlan Controller habe bestimmt der ja, dass alle Anfragen zuerst über den 1. Server laufen oder? Also kommt der 2. gar nicht zum Einsatz und ist passiv solange der 1. aktiv ist?
colinardo
colinardo 12.05.2022 aktualisiert um 11:22:36 Uhr
Goto Top
Zitat von @camouflagge99:
Eine Frage hätte ich noch: Was ist der Unterschied zwischen wenn ich ein Windows Cluster erstelle oder so ein 2. Server einfach als Backup nehme. Ich dachte das wäre das Gleiche.
Nein, das eine ist ein Failover des NAS das andere ist ein Failover über die Clusterknoten, man nutzt hier dann entweder einen Loadbalancer (Kemp&Co.) oder DNS-Roundrobin.
Wenn der 1. Server ausfällt, bei meinem Backup jetzt, müssen die Clients die mit dem 1. Server bereits authentifiziert waren, den Prozess mit dem 2. neu durchführen oder teilen sich die Server da ne Datenbank oder sowas? Ich würde gerne mehr ins Detail gehen, was die Server vom Client speichern und wo. Hast du da vllt ne gute Informationsquelle?
Die Datenbank ist ja das zentrale ActiveDirectory, der Radius-Server leitet ja die Authentifizerungs-Anfragen auch nur an einen DC weiter, ob das nun ein Radius-Server ist oder auch mehrere, das spielt keine Rolle. Das Radius-Server spezifiziert die Authentifizierungsmechanismen (Policies) mit der sich der User/Computer autorisiert. Zwischengespeichert werden vom NPS (Radius-Server) bspw. die Anmeldeinformationen der Client-Zertifikate für einen bestimmten Zeitraum temporär. Das hat den Zweck die Anzahl der Authentifizierungsanfragen an die DCs zu reduzieren so das der Radius-Server den Client schneller wieder ins Netz lassen kann. Der Zeitraum lässt sich in der Registry des NPS anpassen (Link hatte ich oben schon gepostet). Nachteil der Zwischenspeicherung ist, das wenn man ein Zertifikat zurückzieht der User nicht umgehend gesperrt wird sondern erst nach Ablauf des Zertifikats-Caches.
Ansonsten führen Radius-Server mit dem Accounting (Port 1813) in der Regel ein Log in dem die aktuellen und vergangenen Anmeldungen/Sessions abgelegt werden, da steht dann drin von wo über welches NAS sich der User/Computer angemeldet hat, Zeitpunkt, etc. Über das Accounting kann ein Radius-Server ein NAS auch anweisen die aktuell aktive Session eines Users/Computers sofort wieder zu trennen, wenn das nötig sein sollte, denn die NAS/APs sind ja die die den Zugang aktiv regeln. Die Radius Server sind quasi nur eine Zwischeninstanz.

Mir kommen immer mehr Fragen in den Sinn.. sorry face-sad face-sad Da ich den 2. Server nur als "Backup" im Wlan Controller habe bestimmt der ja, dass alle Anfragen zuerst über den 1. Server laufen oder? Also kommt der 2. gar nicht zum Einsatz und ist passiv solange der 1. aktiv ist?
Das kommt darauf an was eingestellt ist. Wenn ein Failover/Backup eingestellt ist nimmt der AP immer erst den primären Server und nur wenn dieser nach Timeout ausfällt kommt der sekundäre Server ins Spiel. Ist dagegen ein Load-Balancing konfiguriert (abhängig von den AP Funktionen), bestimmt ein Algorithmus/Gewichtung die gleichmäßige/ungleichmäßige Verteilung der Anfragen auf beide Radius-Server.
colinardo
colinardo 12.05.2022 aktualisiert um 11:45:06 Uhr
Goto Top
colinardo
colinardo 12.05.2022 aktualisiert um 21:55:04 Uhr
Goto Top
Eine wichtige Info zu zusätzlichen Anforderungen an Client-Zertifikate beginnend mit den Mai Updates, wollte ich hier nicht unterschlagen:
KB5014754—Certificate-based authentication changes on Windows domain controllers
Tastentrottel
Tastentrottel 22.06.2022 um 15:14:58 Uhr
Goto Top
Hallo colinardo,

bei uns läuft das schon seit Jahren so ohne Probleme. Seit dem Mai Update ist keine Anmeldung mehr möglich.
Ich habe auf die Schnelle erst mal das Update auf den Domain Controllern deinstalliert. Habe mich jetzt erstmal wieder in die ganze Materie reindenken müssen. Ich bin mir aber immer noch etwas unschlüssig was genau ich wo anpassen muss. (Einstellungen im Zertifikat… etc.)
Falls Du das schon gemacht hast, würde ich mich echt freuen wenn Du das hier vielleicht auch noch mit einbinden könntest und eine kurze Anleitung einstellen kannst was genau gemacht werden muss.
VD Tastentrottel
colinardo
colinardo 22.06.2022 aktualisiert um 16:06:34 Uhr
Goto Top
Servus @Tastentrottel, willkommen auf Administrator.de!
Das Prozedere habe ich hier schon beschrieben: NPS Problem

Kurzform: Update wieder installieren (wichtig!), Zertifikate zur Neuausstellung an den Clients in der CA auf dem Template triggern, fertig.

Grüße Uwe