kodach
Goto Top

UniFi mit Windows NPS Server - Verbindung nicht sofort da

Guten Abend

Nach dem ich mich nun noch länger mit dem Thema NPS Server beschäftig habe, habe ich mich nun nochmals an einen neuen Versuch gewagt mit UniFi Geräten.

Das ganze Setup habe ich eigentlich auch bereits 1:1 mit Cisco getestet und dort klappt es anstandslos.

Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.

Der NPS Server auf einem Windows Server 2019 ist so eingerichtet das er die Verbindung mit Client Zertifikaten aufbaut.

Hänge ich nun einen Testclient (Lenovo T560) an die Domäne, verbindet sich alles nach wenigen Sekunden/Minuten.

Starte ich den Laptop neu, dauert es aber bei fast jedem mal ein bis zwei Minuten bis die WLAN Verbindung steht. Das selbe wenn ich mich ohne WLAN anmelde weil sie noch nicht aufgebaut ist. Nach ein bis zwei Minuten konnte sich der Client eigentlich immer verbinden.

Hat jemand eine Idee wo ich den Fehler suchen könnte?

PS. Ich weiss die UniFi Geräte sind für viele ein Graus. Trotzdem würde ich es auch mit den Geräten hin bekommen. Da es bei Cisco so geklappt hat nehme ich an ich müsste irgendwo beim AP von UniFi suchen. Finde aber keinen Anhaltspunkt.

Gruss und Danke

Koda

Content-ID: 608294

Url: https://administrator.de/forum/unifi-mit-windows-nps-server-verbindung-nicht-sofort-da-608294.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

aqui
aqui 27.09.2020 aktualisiert um 19:13:14 Uhr
Goto Top
mit Cisco getestet und dort klappt es anstandslos.
Auch mit Mikrotik APs auf Anhieb fehlerlos ! face-wink
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
KodaCH
KodaCH 27.09.2020 um 19:16:48 Uhr
Goto Top
Ja den kenn ich schon ;)
Leider suche ich heut explizit die Lösung fürs UniFi Setup
Xaero1982
Xaero1982 27.09.2020 um 19:51:05 Uhr
Goto Top
Ich habs mit einem Server 2019 laufen und die AP AC Pro.

Allerdings nicht mit Zertifikaten, sondern mit simpler Benutzerauthentifizierung übers AD.

Was sagt das Eventlog aufm NPS?
KodaCH
KodaCH 27.09.2020 um 20:08:10 Uhr
Goto Top
Danke für deine Antwort. Auf dem NPS hab ich nur NPS Einträge wenn mein AP neu startet (keine Fehler)
chgorges
chgorges 27.09.2020 um 22:51:57 Uhr
Goto Top
Zitat von @KodaCH:

Guten Abend
Hi,
Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.

Kann ich nicht nachvollziehen, Authentication = Port 1812, Accounting = Port 1813, gibt dir der UniFi Controller sogar pfannenfertig vor.
Authentication mit Port 1813 macht keinen Sinn, nimm das raus.

VG
killtec
killtec 28.09.2020 um 09:03:33 Uhr
Goto Top
Hi,
hab das mit einem 2016er am laufen. Bei mir ist das so eingestellt:

ubnt

Läuft mit Zertifikaten oder auch Benutzer / Kennwort.
KerlIT
KerlIT 28.09.2020 um 10:20:33 Uhr
Goto Top
Zitat von @KodaCH:

Guten Abend
Guten Morgen,

Nach dem ich mich nun noch länger mit dem Thema NPS Server beschäftig habe, habe ich mich nun nochmals an einen neuen Versuch gewagt mit UniFi Geräten.

Das ganze Setup habe ich eigentlich auch bereits 1:1 mit Cisco getestet und dort klappt es anstandslos.
Gleich vorab, weil es offenbar eine der häufigsten Stolperfallen ist: Bei UniFi agieren die APs alle einzeln als RADIUS Clients, d.h. sie müssen auch alle explizit als eben solche auf dem NPS konfiguriert sein.
Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.
Ich schließe mich chgorges an: Ein Authentication Server mit Port 1812 genügt, alles andere verwirrt hier erstmal nur.
Der NPS Server auf einem Windows Server 2019 ist so eingerichtet das er die Verbindung mit Client Zertifikaten aufbaut.
Diese Aussage müsstet Du noch, äh, etwas "entpacken". Am besten mit Screenshots der entsprechenden Verbindungsanforderungs- und Netzwerkrichtlinien im NPS.
Hänge ich nun einen Testclient (Lenovo T560) an die Domäne, verbindet sich alles nach wenigen Sekunden/Minuten.
Geschieht das vor oder erst nach der Benutzer-Anmeldung? Geschieht es gänzlich automatisch, oder wählst Du als angemeldeter Benutzer eines der verfügbaren WLANs wenigstens einmalig "händisch" aus und setzt dann den Haken für "Automatisch verbinden"?
Worauf ich hinaus will: Gibt es GPOs, die WLAN-Profile an die Clients verteilen? Gibt es ggf. auch GPOs, die das Zertifikats-Autoenrollment für Benutzer oder Computer steuern?
[... ] Das selbe wenn ich mich ohne WLAN anmelde weil sie noch nicht aufgebaut ist. [...]
Eine Verzögerung der Benutzer-Anmeldung durch gerade fehlende Netzwerk-Verbindung zu den DCs ist aber (in Abwesenheit sonstiger Domänen-spezifischer Anpassungen) durchaus "normal". Davon sollte man sich hier, glaube ich, nicht ablenken lassen.
Hat jemand eine Idee wo ich den Fehler suchen könnte?
Auf dem NPS:
  • In der MMC Rechtsklick auf Serverknoten -> Eigenschaften -> Allgemein -> Die beiden Haken für abgelehnte und erfolgreiche Authentifizierungsanforderungen setzen. Dann wird im NPS-Eventlog auch mehr geloggt und man kann erfolgreiche (Cisco) Authentifizierung mit (erfolgreicher / fehlgeschlagener / verzögerter) UniFi-Authentifizierung vergleichen.
  • Darüber hinaus in den NPS-Logfiles

Auf dem Client:
  • Eventlogs System
  • Eventlogs Anwendungs- und Dienstprotokolle -> Microsoft - Windows -> WLAN-AutoConfig
  • Kontrolle: Welche Zertifikate liegen unter MMC -> Zertifikate -> Eigenes Benutzerkonto -> Eigene Zertifikate -> Zertifikate?
  • Kontrolle: Welche Zertifikate liegen unter MMC -> Zertifikate -> Computerkonto -> Lokaler Computer -> Eigene Zertifikate -> Zertifikate?

PS. Ich weiss die UniFi Geräte sind für viele ein Graus. Trotzdem würde ich es auch mit den Geräten hin bekommen. Da es bei Cisco so geklappt hat nehme ich an ich müsste irgendwo beim AP von UniFi suchen. Finde aber keinen Anhaltspunkt.
Das ist in der Tat einen eigenen Thread wert... In Kurzform: Stell' Dich darauf ein, Mann-Tage und -Wochen an Arbeitszeit in eine UniFi-Lösung zu stecken, bis Du sie auf dem gleichen Niveau derer anderer Hersteller hast.

Gruss und Danke
Gutes Gelingen wünscht
Koda
KerlIT
Xaero1982
Xaero1982 28.09.2020 um 14:11:50 Uhr
Goto Top
Das ist in der Tat einen eigenen Thread wert... In Kurzform: Stell' Dich darauf ein, Mann-Tage und -Wochen an Arbeitszeit in eine UniFi-Lösung zu stecken, bis Du sie auf dem gleichen Niveau derer anderer Hersteller hast.

Kann ich definitiv nicht bestätigen. Ich hatte das in kürzester Zeit laufen, wenn die Grundzüge klar sind.

Grüße
KodaCH
KodaCH 28.09.2020 um 19:27:39 Uhr
Goto Top
Guten Abend

Vielen Dank. Ich werde dies diese Woche so Testen und auf eure Rückfragen entsprechend Antwort geben.

Gruss

Koda