Microsoft NPS zum RADIUS konfigurieren
Hallo,
ich bin dazu verdonnert worden ein sicheres WLAN in unserer Infrastruktur zu etablieren. Und wie es eben ist - Budget ist knapp, sicher soll es sein und mit AD-Authentifizierung einschl. Zertifikaten.
Für ca. 20 mobile Clients bei uns im Haus haben wir jetzt
1x DLink DWC-1000 (WLAN-Controller),
3x DLink DWS-3600 (AP)
gekauft (passte gut ins Budget).
Das Ganze hängt an HP2530er. Darüber findet sich ein SBS2011 einschl. NPS den ich als RADIUS einsetzen möchte.
Der RADIUS - Server erhielt den DWC-1000 als Client, der wiederum auch den Server erkennt. Die Accesspoints erhalten ihr Profil vom DWC-1000 und bieten im VLAN 1 ein WLANProd wo sich die Benutzer des Hauses via AD authentifizieren sollen. Zusätzlich gibt es ein WLANGast, im VLAN 10, welches direkt nach draußen geroutet wird.
Ich weiß das RADIUS hier schon sehr oft und ausführlich behandelt wurde. Leider habe ich jedoch nichts detailliertes zu verschlüsselten Verbindungen via Zertifikaten gefunden. Ich vermute, dass sich aufgrund falschen Verständnisses, was Zertifikate angeht meine Verbindungen nicht generiert werden.
In den Zertifikatseinstellungen des RADIUS hatte ich zwei zur Auswahl.
1.) Domainname-Servername-CA
2.) *.Domainname.de (Sternchen steht tatsächlich so da)
Unverschlüsselte Verbindungen habe ich in den Einstellungen gekappt. Über eine separate Funktionsgruppe möchte ich auf diesem Wege Notebooks, also Gerätebezogen, den WLAN-Zugang ermöglichen, was leider nicht klappt.
Schaue ich unter certmgr.msc auf einem Testnotebook, sehe ich auch das Domainname-Servername--CA als vertrauenswürdige Zertifizierungsstelle hinterlegt.
Was mache ich falsch? Ich glaube mit Zertifikaten geht etwas schief.
Vielen Dank schon jetzt.
denkis
ich bin dazu verdonnert worden ein sicheres WLAN in unserer Infrastruktur zu etablieren. Und wie es eben ist - Budget ist knapp, sicher soll es sein und mit AD-Authentifizierung einschl. Zertifikaten.
Für ca. 20 mobile Clients bei uns im Haus haben wir jetzt
1x DLink DWC-1000 (WLAN-Controller),
3x DLink DWS-3600 (AP)
gekauft (passte gut ins Budget).
Das Ganze hängt an HP2530er. Darüber findet sich ein SBS2011 einschl. NPS den ich als RADIUS einsetzen möchte.
Der RADIUS - Server erhielt den DWC-1000 als Client, der wiederum auch den Server erkennt. Die Accesspoints erhalten ihr Profil vom DWC-1000 und bieten im VLAN 1 ein WLANProd wo sich die Benutzer des Hauses via AD authentifizieren sollen. Zusätzlich gibt es ein WLANGast, im VLAN 10, welches direkt nach draußen geroutet wird.
Ich weiß das RADIUS hier schon sehr oft und ausführlich behandelt wurde. Leider habe ich jedoch nichts detailliertes zu verschlüsselten Verbindungen via Zertifikaten gefunden. Ich vermute, dass sich aufgrund falschen Verständnisses, was Zertifikate angeht meine Verbindungen nicht generiert werden.
In den Zertifikatseinstellungen des RADIUS hatte ich zwei zur Auswahl.
1.) Domainname-Servername-CA
2.) *.Domainname.de (Sternchen steht tatsächlich so da)
Unverschlüsselte Verbindungen habe ich in den Einstellungen gekappt. Über eine separate Funktionsgruppe möchte ich auf diesem Wege Notebooks, also Gerätebezogen, den WLAN-Zugang ermöglichen, was leider nicht klappt.
Schaue ich unter certmgr.msc auf einem Testnotebook, sehe ich auch das Domainname-Servername--CA als vertrauenswürdige Zertifizierungsstelle hinterlegt.
Was mache ich falsch? Ich glaube mit Zertifikaten geht etwas schief.
Vielen Dank schon jetzt.
denkis
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267282
Url: https://administrator.de/forum/microsoft-nps-zum-radius-konfigurieren-267282.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
sicher soll es sein und mit AD-Authentifizierung einschl. Zertifikaten.
Ich würde ausschließlich auf Zertifikate, welche pro Gerät ausgestellt werden, setzen. Mit Active Directory-Anmeldung könnte der Mitarbeiter auch sein privates Smartphone ins WLAN hängen und seine Zugangsdaten eingeben. Ist sicherlich nicht die Vorstellung deines Chefs.Was mache ich falsch? Ich glaube mit Zertifikaten geht etwas schief.
Bitte poste von der NPS-Richtlinien die getätigen Einstellungen. Schaue ich unter certmgr.msc auf einem Testnotebook, sehe ich auch das Domainname-Servername--CA als vertrauenswürdige Zertifizierungsstelle hinterlegt.
Das ist nur die halbe Miete. Das muss auch so sein... Bekommen deine Geräte auch ein Zertifikat jeweils ausgestellt. Entweder sobald diese in die Domäne aufgenommen werden oder manuell. Wichtig ist dabei, dass dieses auf das Computerkonto ausgestellt wird.Gruß,
Dani