excaliburx
Goto Top

NPS (Radiusserver) 2016 - Wifi-Authentifizierung wird abgewiesen mit Meldung keine passende Netzwerkrichtlinie vorhanden

Hallo Zusammen,

im Einsatz ist eine leere AD-Domäne zur Verwaltung. Die Zentrale und Außenstandorte sind als Subdomänen implementiert.
Eine CA-Implementierung ist vorhanden.
In den Subdomönen sind DNS, DHCP vorhanden.

In der Subdomäne der Zentrale ist ein Microsoft NPS-Server 2016 platziert, der firmenweit als Radiusserver dient, um z.B. den Zugriff auf Wifi (intern sowie extern) an den verschiedenen Standorten zu authentifizieren.
In dem NPS ist für Wifi eine Verbindungsanforderungsrichtlinie vorhanden und eine Netzwerkrichtlinie, die als Bedingung AD-Gruppen aus jeder Domäne enthält. Die AD-Gruppen haben AD-Benutzerkonten aus der jeweiligen Domäne als Mitglied. In der Netzwerkrichtlinie wird PEAP gefordert.

Die Implementierung des NPS ist neu. Für intern funktioniert diese. Für externes Wifi der Außenstandorte jedoch nicht.

Hier tritt nun folgendes Problem auf:
Die Authentifizierung von Benutzern (AD-Accounts) auf beliebigen Wifi-Endgeräten kommt am NPS an und wird mit folgender Meldung abgewiesen:
"Es ist keine passende Netzwerkrichtlinie vorhanden" (sinngemäß)

Hatte jemand schon mal dieselbe Meldung und Tipps dazu, was die Ursache sein könnte?

Muss denn der jeweilige Wifi-Client z.B. iPhone (nicht Domänenclients) auch der CA und somit dem NPS vertrauen, damit der Radiusserver die Authentifizierung zulässt?

Vielen Danke!

Gruß

Content-ID: 383185

Url: https://administrator.de/forum/nps-radiusserver-2016-wifi-authentifizierung-wird-abgewiesen-mit-meldung-keine-passende-netzwerkrichtlinie-383185.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Dani
Dani 12.08.2018 um 22:09:29 Uhr
Goto Top
Guten Abend,
Hatte jemand schon mal dieselbe Meldung und Tipps dazu, was die Ursache sein könnte?
am besten einmal die Konfiguration der Netzwerkrichtlinie als Screenshots posten.

Muss denn der jeweilige Wifi-Client z.B. iPhone (nicht Domänenclients) auch der CA und somit dem NPS vertrauen, damit der Radiusserver die Authentifizierung zulässt?
Das hängt von deiner Konfiguration ab. Authentifizieren sich die Domänen-Benutzer mit ihren Accounts, dann spielt das Zertifikat eigentlich keine Rolle. Sollen sich aber die Clients gegenüber den NPS authentifizieren, dann ist pro Gerät ein SSL Zertifikat von eurer PKI notwendig.


Gruß,
Dani
Excaliburx
Excaliburx 19.08.2018 aktualisiert um 22:18:41 Uhr
Goto Top
Nein, in diesem Fall sollen sich die Domänen-Benutzer auf den verschiedenen Endgeräten nur mit ihrem AD-Account authentifizieren.

Grundlegend wäre interessant zu wissen:
Ist die Annahme korrekt, dass der NPS anhand der Rangfolge von 1 bis xxx zuerst die Verbindungsanforderungs- und danach die Netzwerkrichtlinien durcharbeitet und anhand den Einstellungen und Bedingungen zulässt oder verweigert oder funktioniert der NPS (2016) anders?

Zu den Richtlinien auf dem NPS:
Derzeit ist eine Verbindungsanforderungsrichtlinie eingerichtet, die 802.1x und drahtlos als Bedingung hat und lokale Authentifizierung ist eingestellt.

Es gibt eine Netzwerkrichtlinie, die als Bedingung eine Benutzergruppe hat - hier ist die AD-Gruppe des Außenstandortes eingetragen. In dieser AD-Gruppe ist ein AD-Benutzerobjekt der Subdomäne des Außenstandortes Mitglied. Eingestellt ist PEAP für die Authentifizierung.

Die WLAN-Accesspoints sind in einem definierten Netzwerkbereich und erhalten IP-Adressen von einem Win 2016 DHCP Server. Es sind DHCP Reservierungen konfiguriert. Der Netzwerkbereich ist unter Rubrik Radius-Clients im NPS hinterlegt.

Die Subdomäne der Zentrale, in der auch der NPS platziert ist und Subdomäne der Außenstelle vertrauen sich gegenseitig (AD-Trusts sind vorhanden, Shortcut und transitiv, Gesamtstrukturweitere Authentifizierung ist eingestellt, keine ausgewählte Auhtentifizierung).

In dem AD-Benutzerobjekt ist in Registerkarte Einwählen "mit Netzwerkrichtlinie steuern" eingestellt.

Im Eventlog der Rolle NPS ist ersichtlich, dass der NPS mit dem DC der Subdomäne der Außenstelle aufbaut.
Lt. Netzwerkkommunikationsmitschnitt auch per LDAP mit dem DC spricht, danach passiert offenbar nichts weiter.

Muss denn der NPS speziell berechtigt werden, damit dieser auf die DCs der anderen Subdomäne (Außenstelle) zugreifen darf bzw. der DC mit dem NPS in der Subdomäne der Zentrale spricht für die Authentifizierung?

Firewallseitig ist sichergestellt, dass kein Traffic geblockt wird.

Das Hinzufüge des Computerkontos des NPS in die AD-Gruppe RAS und IAS Server der Subdomäne des Außenstandortes brachte bei den Tests gleich danach keine Änderung. Muss man hier ggf. über Nacht warten bis eine solche Änderung wirksam wird?

Oder macht es in dieser Konstellation mehr Sinn einfach einen NPS auch im Außenstandort zu platzieren, sodass dieser dann per Verbindungsanforderungsrichtlinie lokal authentifziert in seiner Subdomäne, der der Außenstelle. Damit würde wahrscheinlich eine spezielle subdomänenübergreifende Rechtevergebe entfallen?
Dani
Lösung Dani 21.08.2018 um 19:21:53 Uhr
Goto Top
Guten Abend,
Ist die Annahme korrekt, dass der NPS anhand der Rangfolge von 1 bis xxx zuerst die Verbindungsanforderungs- und danach die Netzwerkrichtlinien durcharbeitet und anhand den Einstellungen und Bedingungen zulässt oder verweigert oder funktioniert der NPS (2016) anders?
So habe ich das im Kopf. Allerdings bin ich inzwischen von der Praxis etwas entfernt.

Zu den Richtlinien auf dem NPS:
Screenshots wären mir lieber. So vergleicht es sich einfacher und schneller.

Das Hinzufüge des Computerkontos des NPS in die AD-Gruppe RAS und IAS Server der Subdomäne des Außenstandortes brachte bei den Tests gleich danach keine Änderung. Muss man hier ggf. über Nacht warten bis eine solche Änderung wirksam wird?
Ist aber auf jeden Fall der richtige Step. Sonst ist ein Zugriff auf die Benutzerinformationen nicht gegeben. Die Änderung sollte auch zeitnah wirksam werden, da es sich um keine Replikation handelt.


Gruß,
Dani