3
Radius Authentifizierung klappt nicht
Hallo zusammen,
ich habe heute versucht, im Home-Lab die WLAN-Authentifizierung über einen RADIUS-Server umzustellen.
Leider haut es nicht hin.
Ich habe auf einem WinServer2019 die Rollen "Active-Directory Zertifikatdienste" "DirectAccess und VPN (RAS)" installiert.
Auf dem DC eine Gruppe angelegt, welche die Geräte beinhaltet, die ins WLAN dürfen ("Group WLAN").
Eine GPO "WLAN" angelegt, welche auf die Laptops (OU) wirkt. Und Sicherheitsfilterung "Group WLAN". Authentifizierte Benutzer auf "nur lesen" gestellt.
Hier habe ich die Werte
und
angepasst bzw. angelegt.
Netzwerkrichtlinienserver:
Netzwerkrichtlinie wurde vom Assistenten angelegt, ebenfalls die zwei Clients (zwei verschiedene Accesspoints).
In der Netzwerkhardware habe ich eine SSID angelegt. Entsprechendes VLAN zugewiesen etc.
Die Clients verbinden sich so halb. Sprich man klickt auf das WLAN, der Kringel dreht sich und es passiert aber einfach nichts (Status: "Überprüfen und verbinden"). Irgendwann kommt dann "Geben Sie bitte Ihren Benutzernamen und Ihr Kennwort ein."
Jedoch ist vollkommen egal, welche Kombination ich hier versuche, geht nicht (Domian\Benutzername, oder Benutzername oder Benutzername@FQDN).
Die GPO wird korrekt angewandt, ein Zertifikat wird ebenfalls ausgegeben.
Ich bin mir derzeit nicht sicher, wo ich am ehesten nach dem Fehler suchen sollte.
Grüße
Nico
ich habe heute versucht, im Home-Lab die WLAN-Authentifizierung über einen RADIUS-Server umzustellen.
Leider haut es nicht hin.
Ich habe auf einem WinServer2019 die Rollen "Active-Directory Zertifikatdienste" "DirectAccess und VPN (RAS)" installiert.
Auf dem DC eine Gruppe angelegt, welche die Geräte beinhaltet, die ins WLAN dürfen ("Group WLAN").
Eine GPO "WLAN" angelegt, welche auf die Laptops (OU) wirkt. Und Sicherheitsfilterung "Group WLAN". Authentifizierte Benutzer auf "nur lesen" gestellt.
Hier habe ich die Werte
Computerkonfiguration-->Richtlinien-->Windows-Einstellungen-->Sicherheitseinstellungen-->Richtlinien für öffentliche Schlüssel-->Einstellungen der automatischen Zertifikatanforderung-->neu--> ComputerComputerkonfiguration-->Richtlinien-->Windows-Einstellungen-->Sicherheitseinstellungen-->Richtlinien für öffentliche Schlüssel-->"Zertifikatdienstclient - Automatische Registrierung"-->2x Haken gesetzt und "Dropdown: aktiviert" Netzwerkrichtlinienserver:
Netzwerkrichtlinie wurde vom Assistenten angelegt, ebenfalls die zwei Clients (zwei verschiedene Accesspoints).
In der Netzwerkhardware habe ich eine SSID angelegt. Entsprechendes VLAN zugewiesen etc.
Die Clients verbinden sich so halb. Sprich man klickt auf das WLAN, der Kringel dreht sich und es passiert aber einfach nichts (Status: "Überprüfen und verbinden"). Irgendwann kommt dann "Geben Sie bitte Ihren Benutzernamen und Ihr Kennwort ein."
Jedoch ist vollkommen egal, welche Kombination ich hier versuche, geht nicht (Domian\Benutzername, oder Benutzername oder Benutzername@FQDN).
Die GPO wird korrekt angewandt, ein Zertifikat wird ebenfalls ausgegeben.
Ich bin mir derzeit nicht sicher, wo ich am ehesten nach dem Fehler suchen sollte.
Grüße
Nico
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2360366600
Url: https://administrator.de/contentid/2360366600
Printed on: April 26, 2024 at 16:04 o'clock
3 Comments
Latest comment
Nachtrag:
Firewall auf dem Windows Server wurde für die UDP-Ports 1645, 1646, 1812, 1813 geöffnet
Netzwerk:
Accesspoints, Switches etc. befinden sich im Netz 172.16.254.0/24
Windows-Server und Clients welche sich ins WLAN einwählen sollen im Netz 172.16.1.1/24 (VLAN 10)
Firewall auf dem Windows Server wurde für die UDP-Ports 1645, 1646, 1812, 1813 geöffnet
Netzwerk:
Accesspoints, Switches etc. befinden sich im Netz 172.16.254.0/24
Windows-Server und Clients welche sich ins WLAN einwählen sollen im Netz 172.16.1.1/24 (VLAN 10)
1645 und 1646 sind längst passe und werden nicht mehr genutzt. Kannst du wieder schliessen. 1812 und 1813 sind die Radius Ports.
Hast du den Radius Server grundsätzlich mal mit einem Tool wie z.B. NTRadPing getestet ob der sauber arbeitet ?:
https://knowledge.broadcom.com/external/article/152750/troubleshoot-vip- ...
Was steht im NPS/Radius Log wenn du mit einem Device zugreifst ?
Der Windows Radius Server heisst eigentlich NPS (Network Policy Server, zu Deutsch "Netzwerk Richtlinien Server") bei Microsoft.
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
Dazu das du den installiert hast schreibst du oben gar nichts ?!
Sonst erstmal mit dem FreeRadius testen der hat bessere Debugging Optionen.
Hast du den Radius Server grundsätzlich mal mit einem Tool wie z.B. NTRadPing getestet ob der sauber arbeitet ?:
https://knowledge.broadcom.com/external/article/152750/troubleshoot-vip- ...
Was steht im NPS/Radius Log wenn du mit einem Device zugreifst ?
Der Windows Radius Server heisst eigentlich NPS (Network Policy Server, zu Deutsch "Netzwerk Richtlinien Server") bei Microsoft.
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
Dazu das du den installiert hast schreibst du oben gar nichts ?!
Sonst erstmal mit dem FreeRadius testen der hat bessere Debugging Optionen.
2Zitat von @148523:
1645 und 1646 sind längst passe und werden nicht mehr genutzt. Kannst du wieder schliessen. 1812 und 1813 sind die Radius Ports.
Hab ich rausgenommen. Danke für den Hinweis.1645 und 1646 sind längst passe und werden nicht mehr genutzt. Kannst du wieder schliessen. 1812 und 1813 sind die Radius Ports.
Dazu das du den installiert hast schreibst du oben gar nichts ?!
WOW, da fällt mir jetzt auch nixmehr zu ein.... Das wars dann wohl wieder, und es ist noch garnicht Freitag... Immerhin kleiner Freitag. Vielleicht zählt das als Ausrede.Danke für deine Hilfe, funktioniert jetzt auf jeden Fall.