6
RADIUS (NPS) - Neue User können sich nicht an Domain anmelden
Hallo,
folgendes Problem:
Ich habe einen NPS RADIUS Server installiert. Dieser funktioniert mit einem davor erzeugten Testuser einwandfrei. Nun habe ich neue AD User erzeugt (diese natürlich auch in die berechtigte RADIUS Gruppe verschoben) und wollte damit weiter testen.
Beim anmelden an der Domain mit einem neuen User kommt folgender Fehler:
Macht ja irgendwie Sinn... Der Rechner bekommt erstmal keine IP vom DHCP und hat dementsprechend keine Verbindung zum AD.
Gegoogelt und und auch fündig geworden; Ich habe folgende Gruppenrichtlinie installiert (siehe Anhang):
Nun leider funktioniert es immer noch nicht... hat noch jemand eine Idee?
Ich wäre sehr dankbar.
folgendes Problem:
Ich habe einen NPS RADIUS Server installiert. Dieser funktioniert mit einem davor erzeugten Testuser einwandfrei. Nun habe ich neue AD User erzeugt (diese natürlich auch in die berechtigte RADIUS Gruppe verschoben) und wollte damit weiter testen.
Beim anmelden an der Domain mit einem neuen User kommt folgender Fehler:
Sie können mit diesen Anmeldeinformatinoen nicht angemeldet werden, weil die Domain nicht verfügbar ist, bla bla
Macht ja irgendwie Sinn... Der Rechner bekommt erstmal keine IP vom DHCP und hat dementsprechend keine Verbindung zum AD.
Gegoogelt und und auch fündig geworden; Ich habe folgende Gruppenrichtlinie installiert (siehe Anhang):
Nun leider funktioniert es immer noch nicht... hat noch jemand eine Idee?
Ich wäre sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 427428
Url: https://administrator.de/contentid/427428
Printed on: April 19, 2024 at 09:04 o'clock
6 Comments
Latest comment
Hallo,
Und was sagt dir das?
Gruß,
Peter
Und was sagt dir das?
Der Rechner bekommt erstmal keine IP vom DHCP und hat dementsprechend keine Verbindung zum AD.
Huhn oder Ei problem. Was war zuerst? Wenn der keine IP bekommt, was dann? Eier?Gruß,
Peter
"Und was sagt dir das?"
Das die RADIUS Authentifizierung VOR der Domainanmeldung stattfinden muss. Dies wurde aber doch mit der oben zu sehenden Gruppenrichtlinie eingestellt? Trotzdem funktioniert es nicht.
"Huhn oder Ei problem. Was war zuerst? Wenn der keine IP bekommt, was dann? Eier?
Er bekommt keine IP(vom DHCP). Sondern eine APIPA Adresse. Dementsprechend ist die Domainanmeldung nicht möglich. Die RADIUS Authentifizierung muss als erstes stattfinden. Tut es aber nicht.
Das die RADIUS Authentifizierung VOR der Domainanmeldung stattfinden muss. Dies wurde aber doch mit der oben zu sehenden Gruppenrichtlinie eingestellt? Trotzdem funktioniert es nicht.
"Huhn oder Ei problem. Was war zuerst? Wenn der keine IP bekommt, was dann? Eier?
Er bekommt keine IP(vom DHCP). Sondern eine APIPA Adresse. Dementsprechend ist die Domainanmeldung nicht möglich. Die RADIUS Authentifizierung muss als erstes stattfinden. Tut es aber nicht.
Hallo,
Und dein RADIUS ist ein NPS. Wie soll das alles mit einer APIPA funktinieren?
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
https://www.security-insider.de/wie-funktioniert-radius-a-613266/
https://www.msxfaq.de/windows/sicherheit/8021x.htm
NPS - MAC Authentifizierung - Windows Server 2016
Und die Logs hast du durchsucht ob dort etwas verwertbares drin steht?
Gruß,
Peter
Und dein RADIUS ist ein NPS. Wie soll das alles mit einer APIPA funktinieren?
Er bekommt keine IP(vom DHCP). Sondern eine APIPA Adresse.
Und wie soll dein Konstrukt damit Funktionieren?Dementsprechend ist die Domainanmeldung nicht möglich. Die RADIUS Authentifizierung muss als erstes stattfinden.
Und zwar bevor dein Client sich entscheided sich eine APIPA zu vergebenhttps://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
https://www.security-insider.de/wie-funktioniert-radius-a-613266/
https://www.msxfaq.de/windows/sicherheit/8021x.htm
NPS - MAC Authentifizierung - Windows Server 2016
Und die Logs hast du durchsucht ob dort etwas verwertbares drin steht?
Gruß,
Peter
Um das zu lösen, musst du vor der Anmeldung erstmal eine Computer-Auth laufen lassen und KANNST dann nach der Anmeldung eine anschließende User-Auth durchführen lassen.
Nur so funktioniert dann auch eine Gruppenlinienabarbeitung auf Computerebene, wie z.B. Softwareverteilung und ähnliches.
Nur so funktioniert dann auch eine Gruppenlinienabarbeitung auf Computerebene, wie z.B. Softwareverteilung und ähnliches.
Hallo
Das ist von Microsoft etwas unglücklich beschriftet in den Einstellungen. Ich habe alle PCs in einer „Computer-Radius“ Gruppe und alle User in einer „Benutzer-Radius“ Gruppe. Bei Benutzeranmeldung schaltet der PC von Computer- auf Benutzerauthentifizierung.
Grüße
lcer
Zitat von @tikayevent:
Um das zu lösen, musst du vor der Anmeldung erstmal eine Computer-Auth laufen lassen und KANNST dann nach der Anmeldung eine anschließende User-Auth durchführen lassen.
das Problem wars auch bei mir damals: Debugging von IEEE 802.1XUm das zu lösen, musst du vor der Anmeldung erstmal eine Computer-Auth laufen lassen und KANNST dann nach der Anmeldung eine anschließende User-Auth durchführen lassen.
Das ist von Microsoft etwas unglücklich beschriftet in den Einstellungen. Ich habe alle PCs in einer „Computer-Radius“ Gruppe und alle User in einer „Benutzer-Radius“ Gruppe. Bei Benutzeranmeldung schaltet der PC von Computer- auf Benutzerauthentifizierung.
Grüße
lcer
Meine Lösung:
2 Richtlinien im NPS erstellen:
1x Richtlinie für Computer (Computergruppen hinzufügen)
1x Richtlinie für User (Benutzergruppen hinzufügen)
Die Reihenfolge so anpassen, dass als erstes die Computergruppen Richtlinie ausgeführt wird und als zweites die Benutzergruppen Richtlinie.
Irgendwie konnte ich diese 2 Regeln nicht in einer Richtlinie festhalten.
Danke für eure Beiträge.
2 Richtlinien im NPS erstellen:
1x Richtlinie für Computer (Computergruppen hinzufügen)
1x Richtlinie für User (Benutzergruppen hinzufügen)
Die Reihenfolge so anpassen, dass als erstes die Computergruppen Richtlinie ausgeführt wird und als zweites die Benutzergruppen Richtlinie.
Irgendwie konnte ich diese 2 Regeln nicht in einer Richtlinie festhalten.
Danke für eure Beiträge.
