NPS (Radiusserver) 2016 - Wifi-Authentifizierung wird abgewiesen mit Meldung keine passende Netzwerkrichtlinie vorhanden
Hallo Zusammen,
im Einsatz ist eine leere AD-Domäne zur Verwaltung. Die Zentrale und Außenstandorte sind als Subdomänen implementiert.
Eine CA-Implementierung ist vorhanden.
In den Subdomönen sind DNS, DHCP vorhanden.
In der Subdomäne der Zentrale ist ein Microsoft NPS-Server 2016 platziert, der firmenweit als Radiusserver dient, um z.B. den Zugriff auf Wifi (intern sowie extern) an den verschiedenen Standorten zu authentifizieren.
In dem NPS ist für Wifi eine Verbindungsanforderungsrichtlinie vorhanden und eine Netzwerkrichtlinie, die als Bedingung AD-Gruppen aus jeder Domäne enthält. Die AD-Gruppen haben AD-Benutzerkonten aus der jeweiligen Domäne als Mitglied. In der Netzwerkrichtlinie wird PEAP gefordert.
Die Implementierung des NPS ist neu. Für intern funktioniert diese. Für externes Wifi der Außenstandorte jedoch nicht.
Hier tritt nun folgendes Problem auf:
Die Authentifizierung von Benutzern (AD-Accounts) auf beliebigen Wifi-Endgeräten kommt am NPS an und wird mit folgender Meldung abgewiesen:
"Es ist keine passende Netzwerkrichtlinie vorhanden" (sinngemäß)
Hatte jemand schon mal dieselbe Meldung und Tipps dazu, was die Ursache sein könnte?
Muss denn der jeweilige Wifi-Client z.B. iPhone (nicht Domänenclients) auch der CA und somit dem NPS vertrauen, damit der Radiusserver die Authentifizierung zulässt?
Vielen Danke!
Gruß
im Einsatz ist eine leere AD-Domäne zur Verwaltung. Die Zentrale und Außenstandorte sind als Subdomänen implementiert.
Eine CA-Implementierung ist vorhanden.
In den Subdomönen sind DNS, DHCP vorhanden.
In der Subdomäne der Zentrale ist ein Microsoft NPS-Server 2016 platziert, der firmenweit als Radiusserver dient, um z.B. den Zugriff auf Wifi (intern sowie extern) an den verschiedenen Standorten zu authentifizieren.
In dem NPS ist für Wifi eine Verbindungsanforderungsrichtlinie vorhanden und eine Netzwerkrichtlinie, die als Bedingung AD-Gruppen aus jeder Domäne enthält. Die AD-Gruppen haben AD-Benutzerkonten aus der jeweiligen Domäne als Mitglied. In der Netzwerkrichtlinie wird PEAP gefordert.
Die Implementierung des NPS ist neu. Für intern funktioniert diese. Für externes Wifi der Außenstandorte jedoch nicht.
Hier tritt nun folgendes Problem auf:
Die Authentifizierung von Benutzern (AD-Accounts) auf beliebigen Wifi-Endgeräten kommt am NPS an und wird mit folgender Meldung abgewiesen:
"Es ist keine passende Netzwerkrichtlinie vorhanden" (sinngemäß)
Hatte jemand schon mal dieselbe Meldung und Tipps dazu, was die Ursache sein könnte?
Muss denn der jeweilige Wifi-Client z.B. iPhone (nicht Domänenclients) auch der CA und somit dem NPS vertrauen, damit der Radiusserver die Authentifizierung zulässt?
Vielen Danke!
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 383185
Url: https://administrator.de/forum/nps-radiusserver-2016-wifi-authentifizierung-wird-abgewiesen-mit-meldung-keine-passende-netzwerkrichtlinie-383185.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
3 Kommentare
Neuester Kommentar
Guten Abend,
Gruß,
Dani
Hatte jemand schon mal dieselbe Meldung und Tipps dazu, was die Ursache sein könnte?
am besten einmal die Konfiguration der Netzwerkrichtlinie als Screenshots posten.Muss denn der jeweilige Wifi-Client z.B. iPhone (nicht Domänenclients) auch der CA und somit dem NPS vertrauen, damit der Radiusserver die Authentifizierung zulässt?
Das hängt von deiner Konfiguration ab. Authentifizieren sich die Domänen-Benutzer mit ihren Accounts, dann spielt das Zertifikat eigentlich keine Rolle. Sollen sich aber die Clients gegenüber den NPS authentifizieren, dann ist pro Gerät ein SSL Zertifikat von eurer PKI notwendig.Gruß,
Dani
Guten Abend,
Gruß,
Dani
Ist die Annahme korrekt, dass der NPS anhand der Rangfolge von 1 bis xxx zuerst die Verbindungsanforderungs- und danach die Netzwerkrichtlinien durcharbeitet und anhand den Einstellungen und Bedingungen zulässt oder verweigert oder funktioniert der NPS (2016) anders?
So habe ich das im Kopf. Allerdings bin ich inzwischen von der Praxis etwas entfernt.Zu den Richtlinien auf dem NPS:
Screenshots wären mir lieber. So vergleicht es sich einfacher und schneller.Das Hinzufüge des Computerkontos des NPS in die AD-Gruppe RAS und IAS Server der Subdomäne des Außenstandortes brachte bei den Tests gleich danach keine Änderung. Muss man hier ggf. über Nacht warten bis eine solche Änderung wirksam wird?
Ist aber auf jeden Fall der richtige Step. Sonst ist ein Zugriff auf die Benutzerinformationen nicht gegeben. Die Änderung sollte auch zeitnah wirksam werden, da es sich um keine Replikation handelt.Gruß,
Dani