13
Problem mit Radius und oder GPO
Hallo zusammen
Wir haben 1 Cisco Wlan Netzwerk welches über Radius und einer AD Gruppen Mitgliedschaft gesteuert wird
Seit kurzen können nur noch Notebooks verbinden, welche noch nie in dieser Domäne waren
Beim erneute aufsetzen vom Notebook, funktioniert das Wlan nicht mehr, es kommt die Meldung, zu diesen Netzwerk kann keine Verbindung hergestellt werden.
folgende Tests wurden unternommen:
- Die Anfrage zum Cisco Access Point ist ersichtlich, mehr sieht man aber auf dem AP nicht.
- Der Client wurde auch extra vom Cisco WLAN-Controller entfernt
- Der Cisco WLAN-Controller wurde neu gestartet.
- Es wurde eine neue separate GPO erstellt, der Client bekommt diese GPO auch
- Ein gültiges Zertifikat bekommt der Client vom DC
- Die MAC-Adresse des Notebooks wurde zum Testen geändert.
- Der Computername wurde geändert.
- Die IP-Adresse wurde geändert.
Woran kann das liegen?
Wir haben 1 Cisco Wlan Netzwerk welches über Radius und einer AD Gruppen Mitgliedschaft gesteuert wird
Seit kurzen können nur noch Notebooks verbinden, welche noch nie in dieser Domäne waren
Beim erneute aufsetzen vom Notebook, funktioniert das Wlan nicht mehr, es kommt die Meldung, zu diesen Netzwerk kann keine Verbindung hergestellt werden.
folgende Tests wurden unternommen:
- Die Anfrage zum Cisco Access Point ist ersichtlich, mehr sieht man aber auf dem AP nicht.
- Der Client wurde auch extra vom Cisco WLAN-Controller entfernt
- Der Cisco WLAN-Controller wurde neu gestartet.
- Es wurde eine neue separate GPO erstellt, der Client bekommt diese GPO auch
- Ein gültiges Zertifikat bekommt der Client vom DC
- Die MAC-Adresse des Notebooks wurde zum Testen geändert.
- Der Computername wurde geändert.
- Die IP-Adresse wurde geändert.
Woran kann das liegen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 73470636803
Url: https://administrator.de/contentid/73470636803
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
Was heißt verbinden? Verbindet sich mit dem WLAN oder hat auch Zugriff zum Netzwerk? Bekommt er eine IP?
Was passiert wenn ein Domänen-Computer manuell mit dem WLAN verbindet und nicht über GPO?
Edit: Den Domänen-Computer natürlich von der GPO ausschließen und dann manuell verbinden
Seit kurzen können nur noch Notebooks verbinden, welche noch nie in dieser Domäne waren
Was heißt verbinden? Verbindet sich mit dem WLAN oder hat auch Zugriff zum Netzwerk? Bekommt er eine IP?
Was passiert wenn ein Domänen-Computer manuell mit dem WLAN verbindet und nicht über GPO?
Edit: Den Domänen-Computer natürlich von der GPO ausschließen und dann manuell verbinden
Nein er kann sich nicht verbinden, ich kann den Client nicht manuell verbinden, es benötigt die AD Gruppe
Dann müsste ich ein neues Wlan erstellen, wo keine AD Gruppen Mitglied voraussetzt
Dann müsste ich ein neues Wlan erstellen, wo keine AD Gruppen Mitglied voraussetzt
Was wird denn als Radius-Server benutzt ? Windows NPS ? Was sagen die Logs vom Radius-Server ?
1
Wenn die AD-Gruppe Voraussetzung zum Verbinden ist, wie können dann Clients verbinden die nicht in der Domäne sind?
Ich vermute mal die ISE wenn er von CISCO spricht
Quote from @pebcak7123:
Was wird denn als Radius-Server benutzt ? Windows NPS ? Was sagen die Logs vom Radius-Server ?
Was wird denn als Radius-Server benutzt ? Windows NPS ? Was sagen die Logs vom Radius-Server ?
Ich vermute mal die ISE wenn er von CISCO spricht
Ich vermute mal die ISE wenn er von CISCO spricht
Wäre ja überflüssig wenn der TO ein Windows AD mit NPS (Radius) hat.Aus der recht oberflächlichen Beschreibung ist auch leider nicht ersichtlich ob mit der 802.1x (WPA-Enterprise) Authentisierung Preshared Keys genutzt werden oder mit User Zertifikaten gearbeitet wird. Da kann man nur raten.
Die Troubleshooting Schritte klingen eher nach hilflosen Trial and Error im freien Fall.
- Client Mac Adressen haben mit der Funktion gar nichts zu tun. Ändern ist also sinnfrei
- Gleiches gilt für Computernamen und IP Adresse die sich durch DHCP ja so oder so immer ändert.
- Wieso entfernt man einen "Client" vom Controller. Auf dem WLC müssen keinerlei Clients eingerichtet werden.
Wir setzen Windows NPS ein, in den logs sehe ich den Client nicht, er bekommt keine IP
in den logs sehe ich den Client nicht, er bekommt keine IP
DAS sollte dir zu denken geben!Vermutlich ist auf dem Client gar kein 802.1x (WPA-Enterprise) aktiv am WiFi Interface?!
Er muss ja zwangsweise bei aktivem .1x am Client Interface einen Radius Request entweder je nach Konfig über den AP direkt oder den Controller auslösen. Diesen Request sieht man am Radius dann natürlich auch sofort im Log. Der WLC Controller loggt zumindestens den Assoziierungs Versuch an der SSID mit. Den DHCP Request loggt natürlich der DHCP Server und nicht der Radius. 2 völlig unterschiedliche Baustellen...
Wenn die Credentials nicht stimmen wird der Client Zugang geblockt und dann ist es auch logisch das dieser Client keine IP Adresse bekommt. Wie auch wenn er keinen DHCP Request senden kann wenn ihm der WLAN Zugang verweigert wird?!
Finde also heraus warum der betreffende Client keinen Radius Request auslöst.
Hier schon mal ein Log vom Radius:
der Client hat den Namen 1001
WLC Log folgt
"DC","IAS",06/27/2024,18:28:42,1,"host/1001.domain.de","DOMAIN\1001$","74-88-bb-b6-ff-e0:Buero","48-51-c5-35-bc-c7",,,"WLC01","172.20.180.20",8,0,"172.20.180.20","WLC01",,,19,,,2,5,"Buero",0,"311 1 172.20.100.10 06/25/2024 21:04:03 4198",,,,,,,,,"667d933a/48:51:c5:35:bc:c7/1382",,,,,,,,,13,6,,,,"820",,,,,,,,,,,"Windows-Authentifizierung für alle Benutzer verwenden",1,,,,
"DC","IAS",06/27/2024,18:28:42,11,,"DOMAIN\1001$",,,,,,,,0,"172.20.180.20","WLC01",,,,,,,5,"Buero",0,"311 1 172.20.100.10 06/25/2024 21:04:03 4198",60,,,,,,,,"667d933a/48:51:c5:35:bc:c7/1382",,,,,,,,,,,,,,,,,,,,,,,,,"Windows-Authentifizierung für alle Benutzer verwenden",1,,,, der Client hat den Namen 1001
WLC Log folgt
Formatierungen in den Beiträgen
Der "Bearbeiten" Knopf ist dein Freund...
Wenn du noch die Güte hättest uns aufzuklären welche von den zahllosen Mac Adressen im Post denn nun der betreffende Client und welcher der Supplicant (AP oder WLC) ist?! 🙄
Zeig uns bitte Mal die Einstellungen vom Radius-Server. Danke.
1
das ist das Log File vom NPS Server aber hier siehst du nicht so richtig gut was sache ist.
Du musst das Log im Eventviewer checken:
dort steht dann auch genauer was Sache ist im Eventlog Eintrag
Du musst das Log im Eventviewer checken:
dort steht dann auch genauer was Sache ist im Eventlog Eintrag
ggf. musst du das Auditing im Eventlog erst aktivieren:
DOS Box mit Admin Rechten:
DOS Box mit Admin Rechten:
auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable
auditpol /get /subcategory:"Network Policy Server"
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
