sommelier
Goto Top

NPS funktioniert nur "halb"

Hallo zusammen,

ich bitte um Euren Rat.

Ich habe eine neue Labor-Domäne aufgebaut, bestehend aus DC, CA NPs und diversen LAN- und WLAN-Clients.
Die drei Rollen laufen auf drei separaten Maschinen, alles Win Server2022
Die Clients sind allesamt Win11 Enterprise.

Nun ist der Wunsch (der zur Hälfte in Erfüllung gegangen ist), die Clients per 802.1x im WLAN zu authentifizieren.
Zur Hälfte deshalb:
Authentifizierung über PEAP mit MsCHAPv2 (User + Passwort) geht
Authentifizierung über PEAP mit Zertifikat geht nicht.

Leider hänge ich an dieser Stelle und hab keinen Schimmer, wo ich nun anpacken soll.
Im Ereignisprotokoll kann wird der Fehler bzw. das Verhalten leider nicht protokolliert.

Auf dem NPS gibt es:
  • eine Verbindungsanforderungsrichtlinie, bei der als Bedingung "NAS-Porttyp" der Wert Drahtlos (sonstige) oder Drahtlos (IEEE 802.11) festgelegt wurde.
  • zwei Netzwerkrichtlinien (um die zweite geht es)

1. Bring you own Device
Bedingungen:
"Windows-Gruppe": DOMAIN\BYOD-Nutzer
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Gesichertes Kennwort (EAP-MSCHAP v2)" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP

2. Zertifikat-Authentifizierung
"Windows-Gruppe": DOMAIN\Grp-Wlan_Devices
"NAS-Porttyp": Drahtlos (sonstige) OR Drahtlos (IEEE 802.11)
Einstellungen:
"Zugriffsberechtigung": Zugriff gewähren
"EAP-Methode": Geschützes EAP (PEAP) -> Zertifikat für NPS-01 hinterlegt und unter EAP-Typ "Smartcard oder oneres Zertifikat" ausgewählt
"Authentifizierungsmethode": EAP
"Service-Typ": Framed
"Framed-Protokoll":PPP

Im Anhang vielleicht etwas übersichlticher...


Bin um jede Hilfe sehr dankbar!

Grüße
nps-richtlinie

Content-ID: 91376450111

Url: https://administrator.de/contentid/91376450111

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

Sommelier
Sommelier 09.10.2023 um 14:43:45 Uhr
Goto Top
Nachtrag: Screenshot der GPO Wlan Profil Verteilung
gpo wlan profil
Mr-Gustav
Mr-Gustav 09.10.2023 um 15:36:36 Uhr
Goto Top
Und darauf Achten das im Client Cert als erstes Clientauthentifizierung stehst sonst wirds auch nix
Sommelier
Sommelier 09.10.2023 um 16:03:46 Uhr
Goto Top
Müsste ja so passen nehme ich an?

Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?
client-zertifikat
Celiko
Celiko 09.10.2023 aktualisiert um 17:53:18 Uhr
Goto Top
Zitat von @Sommelier:

Müsste ja so passen nehme ich an?

Für die Zukunft, falls das mal nicht stimmen sollte... Wie ändere ich die Reihenfolge?

Da du hier beide Zertifikate von der SUB-CA CA-01-CA ausgestellt hast und beides für eine Clientauthentifizierung genutzt werden kann wird durch deine GPO geschaut welches Zertifikat passt (weil simple certification selection --> bei mehreren Zertifikaten wird das Zertifikat ausgewählt was am neusten ist).

Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X


Bzgl. WLAN:
Hast du auch das WLAN auf Enterprise PEAP gestellt? Nicht, dass das WLAN MSCHAP erwartet..?

VG
Sommelier
Sommelier 09.10.2023 aktualisiert um 18:03:17 Uhr
Goto Top
Wie kommst du auf Sub-CA? Es gibt in dem Labor-Aufbau nur eine einzige CA.

Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X
Das ist mir schon klar. Mir geht es um die Reihenfolge "Beabsichtigte Zwecke".
Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".


Nachschub weil vergessen
Hast du auch das WLAN auf Enterprise PEAP gestellt? Nicht, dass das WLAN MSCHAP erwartet..?
Das WLAN lässt sich dahingehend nicht konfigureieren. Man kann hier nur zwischen WPA2 Personal, WPA2 Enterprise wählen
Celiko
Celiko 09.10.2023 aktualisiert um 18:25:10 Uhr
Goto Top
Zitat von @Sommelier:

Wie kommst du auf Sub-CA? Es gibt in dem Labor-Aufbau nur eine einzige CA.

Falls du die Reihenfolge in der Listenansicht meinst brauchst du lediglich nur nach deiner Zertifikatsvorlage sortieren :X
Das ist mir schon klar. Mir geht es um die Reihenfolge "Beabsichtigte Zwecke".
Mir ist schon untergekommen, dass hier einmal an erster Stelle "Clientauthentifizierung" steht (siehe Screenshot zeile zwei) und beim nächsten mal an erster Stelle "Serverauthetifizierung".

Yoa, dann nur die eine CA - hab ich wohl überlesen. Ist aber auch egal, da du zwei Zertifikate für die Clientauthentifizierung hast vom selben Aussteller und deine GPO beim verbinden des WLANs beide in Betracht zieht zum Einreichen am NPS.
Gibt es denn Unterschiede innerhalb der Zertifikate? Welche Infos hat das Zertifikat (SAN)?

Ob die MMC Client- oder Serverauthentifizierung an erster oder zweiter Stelle anzeigt ist irrelevant für die Funktionalität eines Zertifikates - das Zertifikat kann für beides genutzt werden.

Ggfs. mal in der GPO folgendes testen:
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
Brauchst du sonst erst mal nicht als GPO definieren sondern lokal am Client das WLAN Profil per GUI konfigurieren. Kannst dadurch schneller testen.

Kommen irgendwelche Anfragen von deinem Client auf dem NPS an?

Welche WLAN Lösung nutzt ihr?

VG
Sommelier
Sommelier 09.10.2023 um 19:01:46 Uhr
Goto Top
Gibt es denn Unterschiede innerhalb der Zertifikate? Welche Infos hat das Zertifikat (SAN)?
Das Zertifikat (bzw. die Vorlage) mit der Bezeichnung "Computer 802x" ist ein Duplikat der Standard-Vorlage "Computer".
Einziger Unterschied: es wurde eine Sicherheitsgruppe (Grp-WLan_Devices) hinzugefügt, welche folgende Berechtigungen hat:
Lesen, Registrieren, automatisch registrieren

WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.
bereits getestet, ohne Erfolg

Anfragen kommen jede Menge durch, jedoch enden die in einem Loop und die Authentifizierung schlägt nach etwa ein bis eineinhalb Minuten fehl.
Überprüft wurde mittels Microsoft Network Monitor
7907292512
7907292512 09.10.2023 aktualisiert um 19:14:12 Uhr
Goto Top
Bitte beachten und aufmerksam lesen, Wichtig!
KB5014754—Certificate-based authentication changes on Windows domain controllers
Im Ereignisprotokoll kann wird der Fehler bzw. das Verhalten leider nicht protokolliert.
Das ausführliche Logging kannst du im NPS aktivieren, dann siehst du auch was schief läuft.

Sid.
Sommelier
Sommelier 10.10.2023 um 08:50:12 Uhr
Goto Top
Guten Morgen zusammen und vielen Dank nochmals für eure Hilfe!
Aus purer Verzweiflung habe ich nun ein weiteres Mal die GPO bzw. das WLAN-Profil wie von @Celiko beschrieben eingestellt.
Zitat von @Celiko:
WLAN Properties --> Select a network authentication Method --> statt PEAP --> Microosft: Smart Card or other certificate und unter Properties entsprechend das simple certificate selection, use a certificate on this computer und unten die rootCA auswählen.

Plötzlich werden auch Anfragen im Eventlog protokolliert.
Anbei ein Screenshot.
Offenbar besteht nun das Problem, dass mit EAP nicht umgegangen werden kann... siehe letzte Zeile
ereignisanzeige
7907292512
7907292512 10.10.2023 aktualisiert um 09:21:42 Uhr
Goto Top
Naja das Umstellen musst du dann ja auch auf beiden Seiten machen , sowohl in der GPO als auch in der NPS Netzwerkrichtlinie von PEAP auf "Microosft: Smart Card or other certificate" stellen, deswegen kommt ja auch die Fehlermeldung.
Sommelier
Sommelier 10.10.2023 aktualisiert um 09:43:01 Uhr
Goto Top
Ich würde ja jetzt sagen, das war beabsichtgt für Testzwecke um zu zeigen, dass die Anfragen am NPS ankommen... Aber wir wollen ja ehrlich bleiben :X

... und schon steht nichts mehr in den Logs vom NPS im Eventviewer, keine Verbindung kommt zu Stande
7907292512
7907292512 10.10.2023 aktualisiert um 09:56:09 Uhr
Goto Top
Dann Check deinen Radius Traffic oder schneide mit Wireshark zum AP mit.
Beachte auch meinen oben genannten Hinweis zu den Strong-Certificate Merkmalen.
Und sicherstellen das am AP auch auf EAP-Passthrough gestellt ist.

Und auf jeden Fall bei Änderungen Clientneustart machen nicht nur GPO Refresh!
Sommelier
Sommelier 10.10.2023 um 11:03:48 Uhr
Goto Top
und anbei der Screenshot...
wirehark-mitschnitt
7907292512
7907292512 10.10.2023 aktualisiert um 11:11:30 Uhr
Goto Top
Sieht man ja schon was fehlt. Die Antwort vom Radius Server also Access-Accept oder Access-Reject. Da stimmt also schon was bei der grundlegenden Einrichtung nicht (z.B. Radius Client-Password mismatch) .
Celiko
Celiko 10.10.2023 um 11:35:40 Uhr
Goto Top
Der NPS kann seine Log-Dateien auch auf die Festplatte schreiben. Findest du unter "Accounting" --> Log File Properties. Müsste C:\Windows\system32\logfiles sein.
Da mal reinschauen. Da findest du evtl. mehr.
Sommelier
Sommelier 10.10.2023 um 11:37:42 Uhr
Goto Top
so schaut es aus, wenn ich ein Gerät mittels PEAP MSCHAPv2 im WLAN anmelde.

Also das Passwort vom RADIUS-Client passt, sonst ginge ja garnichts.
wirehark-mitschnitt-mschapv2
7907292512
7907292512 10.10.2023 aktualisiert um 11:44:35 Uhr
Goto Top
Tja wir kennen deine APs und dessen Einstellung nicht - auch nicht die der Zertifikate. Schöne Ratestunde 🧐.
Celiko
Celiko 10.10.2023 aktualisiert um 11:44:32 Uhr
Goto Top
Zitat von @Celiko:
Welche WLAN Lösung nutzt ihr?

#push

Letztlich gibt es drei Komponenten...
NPS, AP und Client.
Wäre nochmal hilfreich zu wissen welche APs ihr nutzt und wie das konfiguriert ist*

Hattest du bereits im NPS die Authentifizierungsmethode ebenfalls auf Microsoft Smartcard and other certificate umgestellt? Sonst greift die NPS Policy nicht*
Sommelier
Sommelier 10.10.2023 um 11:46:05 Uhr
Goto Top
Zitat von @Celiko:
Da mal reinschauen. Da findest du evtl. mehr.
logge ich alles mit.
"NPS-01","IAS",10/10/2023,11:40:44,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3960",,,,,,,,,"6EA105A8256C8421",,,,,,"D7AA07DFF84A0EB4",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:44,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3960",30,,,,,,,,"6EA105A8256C8421",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:44,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3961",,,,,,,,,"6EA105A8256C8421",,,,,,"D7AA07DFF84A0EB4",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:44,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3961",30,,,,,,,,"6EA105A8256C8421",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:46,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3962",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:46,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3962",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:46,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3963",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:46,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3963",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:49,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3964",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:49,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3964",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:55,1,"host/Laptop-02.sub.domain.tld","sub.domain.tld/Devices/Clients/Mobile/Laptop-02","E6-63-DA-72-37-6D:Home","1C-BF-C0-87-82-35",,,"e663da72376d","172.20.255.10",,0,"172.20.255.10"," AP2",,,19,"CONNECT 0Mbps 802.11b",,2,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3965",,,,,,,,,"580707AB41B8A4D6",,,,,,"AD29972CCDF60B12",,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
"NPS-01","IAS",10/10/2023,11:40:55,11,,"sub.domain.tld/Devices/Clients/Mobile/Laptop-02",,,,,,,,0,"172.20.255.10"," AP2",,,,,,,5,"Wifi Cert Auth",0,"311 1 172.20.10.60 10/08/2023 07:06:33 3965",30,,,,,,,,"580707AB41B8A4D6",,,,,,,,,,,,,,,,,,,,,,,,,"Wifi Auth Int Devices",1,,,,  
Sommelier
Sommelier 10.10.2023 um 11:56:09 Uhr
Goto Top
Tja wir kennen deine APs und dessen Einstellung nicht
ap settings


auch nicht die der Zertifikate.
was für Informationen benötigt ihr denn?


Zitat von @Celiko:

Zitat von @Celiko:
Welche WLAN Lösung nutzt ihr?

#push
für den Laboraufbau ausgemusterte Unifi-Hardware *schäm*.
Hattest du bereits im NPS die Authentifizierungsmethode ebenfalls auf Microsoft Smartcard and other certificate umgestellt? Sonst greift die NPS Policy nicht
jawohl, das wurde alles umgestellt, wie von euch oben gebeten.
Mr-Gustav
Mr-Gustav 10.10.2023 um 13:57:33 Uhr
Goto Top
Die Einstellungen in der GPO unter

Computer\Windows-Einstellungen\Sicherheitseinstellungen\drahtlosnetzwerkrichtlinien hast du angepasst
bzw. hier deine WLAN´s hinzugefügt und den WLAN´s das passende Auth. Protokoll mitgegeben.

Als Bsp. so:
10102023-01

Passende CA hast du auch angegeben ?
Sommelier
Sommelier 10.10.2023 um 15:38:30 Uhr
Goto Top
ja das passt alles.
Wie in deinem Screenshot.
Dann Eigenschaften ->
  • haken bei "Use simple certificate selection"
  • haken bei "Verify the server's identity by validating the certificate"
  • passende Root-CA angekreuzt
-> advanced
  • haken bei "Certificate Issuer"
  • wieder die Root-CA angekreuzt und bei Intermediate-CA ebenfalls die root-CA
7907292512
7907292512 10.10.2023 aktualisiert um 17:03:44 Uhr
Goto Top
auch nicht die der Zertifikate.
was für Informationen benötigt ihr denn?
Alle Eigenschaften des Certs inkl. SID Extension.

Schau mal nicht nur in die Logs des NPS sondern auch in die Security-Events des DCs.
Sommelier
Sommelier 10.10.2023 aktualisiert um 21:11:16 Uhr
Goto Top
Schau mal nicht nur in die Logs des NPS sondern auch in die Security-Events des DCs.
das sieht alles in Ordnung aus. Jedenfall in meinen Augen keine Auffälligkeiten. Hast du was Spezielles, wonach ich suchen müsste?
Im Anhang Screenshots der Zertifikatvorlage
zertifikatvorlage
zertifikatsverwaltung
LKaderavek
LKaderavek 13.10.2023 um 10:24:32 Uhr
Goto Top
Hallo,

ich wollte gestern zum x-ten Mal die Zertifikats-Authentifizierung einrichten und laufe da ins Leere.
PreLogon klappt nicht, weil angeblich das Computer-Zertifikat nicht gefunden wird.
Das ist aber korrekt ausgestellt und wird auch automatisch korrekt neu ausgestellt.
Es kann bei der Anmeldung nicht gefunden/gelesen werden.

Die Konfiguration ist meiner sehr ähnlich und ich habe sogar schon aus funktionierenden Sites die Konfiguration übernommen - gleicher Effekt.

Dein Eintrag ist außerdem brandaktuell und ich würde mich gerne anschließen.

Hoffentlich lösen wir das gemeinsam.

LG

Lukas
LKaderavek
LKaderavek 13.10.2023 um 10:34:59 Uhr
Goto Top
Verwendest du dieses Zertifikat für die Computer-Authentifizierung mache ich die Vorlage ein wenig anders:

1. Laufzeit 2 Jahre : 8 Wochen (ist Geschmackssache)
2. Anforderungsverarbeitung: Exportieren von privatem Schlüssel zulassen
3. Antragstellername: Format des Antragstellernamens DNS-Name
4. Sicherheit: Lesen ist nicht aktivert, Registrieren & Automatisch registrieren aktiviert
7907292512
7907292512 13.10.2023 aktualisiert um 13:13:58 Uhr
Goto Top
2. Anforderungsverarbeitung: Exportieren von privatem Schlüssel zulassen
Achtung, das sollte man eigentlich niemals für Client-Templates anhaken, sonst kann jeder der mal kurz Zugriff auf die Kiste hat, das Zertifikat samt Private-Key exportieren.
Die Einstellung hat auch keinerlei Einfluss auf die Funktionsweise des Zertifikates in dem o.g. Zusammenhang.
LKaderavek
LKaderavek 18.10.2023 um 09:45:31 Uhr
Goto Top
Hallo,
da hast du recht - das macht natürlich nicht für jeden Sinn.

Ich hab das für die Zertifikate aktiviert gehabt, damit ich z.B. Android/iOS/MacOS auch "ausrollen" kann.

Ist also bei mir im kontrollierten Umfeld geschehen.

Danke für den Hinweis.

LG

Lukas