NPS EAP TLS Problem
Hallo,
da PEAP bei uns nur noch Probleme machte habe ich letzte Woche die WLAN Authentifizierung auf EAP-TLS umgestellt.
Ich habe im NPS alles auf Zertifikate oder Smartcard umgestellt. Die WLAN Profile und Zertifikate werden über eine GPO verteilt. Es gibt eine Computergruppe, mit AD Computern die sich verbinden dürfen. Die GPO beschränke ich auf diese Gruppe. Die Authentifizierung mit den Computerzertifikaten funktioniert ohne Probleme.
Jetzt möchte ich aber noch als zusätzliche Bedingung im NPS definieren, dass sich nur die Gruppe verbinden darf, um noch eine zusätzliche Sicherheit zu haben, falls jemand an das Zertifikat kommt.
Wenn ich als Bedingung aber die Computergruppe mit reinnehme kann sich das Gerät trotz Mitgliedschaft + Zertifikat nicht verbinden auf dem NPS sehe ich, dass der Zugriff mit Code 48 verweigert wurde und dass keine Richtlinie zutrifft.
Zur Info:
Das hat vorher auch bei PEAP MsChapv2 nicht funktioniert, weswegen ich die Vermutung hatte, dass das wegen Credential Guard nicht mehr funktioniert.
Trotzdem funktioniert das ganze jetzt auch bei EAP-TLS nicht.
Hat jemand vielleicht eine Idee woran das liegen könnte?
da PEAP bei uns nur noch Probleme machte habe ich letzte Woche die WLAN Authentifizierung auf EAP-TLS umgestellt.
Ich habe im NPS alles auf Zertifikate oder Smartcard umgestellt. Die WLAN Profile und Zertifikate werden über eine GPO verteilt. Es gibt eine Computergruppe, mit AD Computern die sich verbinden dürfen. Die GPO beschränke ich auf diese Gruppe. Die Authentifizierung mit den Computerzertifikaten funktioniert ohne Probleme.
Jetzt möchte ich aber noch als zusätzliche Bedingung im NPS definieren, dass sich nur die Gruppe verbinden darf, um noch eine zusätzliche Sicherheit zu haben, falls jemand an das Zertifikat kommt.
Wenn ich als Bedingung aber die Computergruppe mit reinnehme kann sich das Gerät trotz Mitgliedschaft + Zertifikat nicht verbinden auf dem NPS sehe ich, dass der Zugriff mit Code 48 verweigert wurde und dass keine Richtlinie zutrifft.
Zur Info:
Das hat vorher auch bei PEAP MsChapv2 nicht funktioniert, weswegen ich die Vermutung hatte, dass das wegen Credential Guard nicht mehr funktioniert.
Trotzdem funktioniert das ganze jetzt auch bei EAP-TLS nicht.
Hat jemand vielleicht eine Idee woran das liegen könnte?
Please also mark the comments that contributed to the solution of the article
Content-ID: 43350015033
Url: https://administrator.de/contentid/43350015033
Printed on: October 9, 2024 at 23:10 o'clock
1 Comment
Also ich hab bei mir Network Policies
Tab Conditions >> Windows Group >> AD Gruppe drin
>> Und halt NAS Port Type >> Ethernet
Tab Constraints >> Authentication Methods >> EAP(PEAP)
aber additional noch
>> Secured Password (EAP-MSCHAP v2)
weil nur damit gings dann
dort hacken bei:
Microsoft Encrypted Athentication version 2 (MS-CHAP-v2)
User can chenge password after it has expired
Microsoft Encrypted Authentication (MS-CHAP)
User can chenge password after it has expired
Das wars.
funktioniert bei mir einwandfrei so mit AD Gruppen
ich hab verschiedene Gruppen so, die in veschieden VLANs die rechner reinlegen.
Am Client hab ich per GPO die settings so gesetzt das nur computerkonto autentifizierung geht.
Weil wenn man auch User auth zulässt kannst den user ja nur in einem VLAN arbeiten lassen....
und da wir die rechner in diversen VLANs haben wollen >> gehts nur so.
Sollte es nicht gehen dann liegts unter umständen an deinen Connection Request Policies, die ja vor den Netowrk Policies durchlaufen....
Tab Conditions >> Windows Group >> AD Gruppe drin
>> Und halt NAS Port Type >> Ethernet
Tab Constraints >> Authentication Methods >> EAP(PEAP)
aber additional noch
>> Secured Password (EAP-MSCHAP v2)
weil nur damit gings dann
dort hacken bei:
Microsoft Encrypted Athentication version 2 (MS-CHAP-v2)
User can chenge password after it has expired
Microsoft Encrypted Authentication (MS-CHAP)
User can chenge password after it has expired
Das wars.
funktioniert bei mir einwandfrei so mit AD Gruppen
ich hab verschiedene Gruppen so, die in veschieden VLANs die rechner reinlegen.
Am Client hab ich per GPO die settings so gesetzt das nur computerkonto autentifizierung geht.
Weil wenn man auch User auth zulässt kannst den user ja nur in einem VLAN arbeiten lassen....
und da wir die rechner in diversen VLANs haben wollen >> gehts nur so.
Sollte es nicht gehen dann liegts unter umständen an deinen Connection Request Policies, die ja vor den Netowrk Policies durchlaufen....