UniFi mit Windows NPS Server - Verbindung nicht sofort da

Mitglied: KodaCH

KodaCH (Level 2) - Jetzt verbinden

27.09.2020 um 18:48 Uhr, 441 Aufrufe, 9 Kommentare

Guten Abend

Nach dem ich mich nun noch länger mit dem Thema NPS Server beschäftig habe, habe ich mich nun nochmals an einen neuen Versuch gewagt mit UniFi Geräten.

Das ganze Setup habe ich eigentlich auch bereits 1:1 mit Cisco getestet und dort klappt es anstandslos.

Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.

Der NPS Server auf einem Windows Server 2019 ist so eingerichtet das er die Verbindung mit Client Zertifikaten aufbaut.

Hänge ich nun einen Testclient (Lenovo T560) an die Domäne, verbindet sich alles nach wenigen Sekunden/Minuten.

Starte ich den Laptop neu, dauert es aber bei fast jedem mal ein bis zwei Minuten bis die WLAN Verbindung steht. Das selbe wenn ich mich ohne WLAN anmelde weil sie noch nicht aufgebaut ist. Nach ein bis zwei Minuten konnte sich der Client eigentlich immer verbinden.

Hat jemand eine Idee wo ich den Fehler suchen könnte?

PS. Ich weiss die UniFi Geräte sind für viele ein Graus. Trotzdem würde ich es auch mit den Geräten hin bekommen. Da es bei Cisco so geklappt hat nehme ich an ich müsste irgendwo beim AP von UniFi suchen. Finde aber keinen Anhaltspunkt.

Gruss und Danke

Koda
Mitglied: aqui
27.09.2020, aktualisiert um 19:13 Uhr
mit Cisco getestet und dort klappt es anstandslos.
Auch mit Mikrotik APs auf Anhieb fehlerlos !
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Bitte warten ..
Mitglied: KodaCH
27.09.2020 um 19:16 Uhr
Ja den kenn ich schon ;)
Leider suche ich heut explizit die Lösung fürs UniFi Setup
Bitte warten ..
Mitglied: Xaero1982
27.09.2020 um 19:51 Uhr
Ich habs mit einem Server 2019 laufen und die AP AC Pro.

Allerdings nicht mit Zertifikaten, sondern mit simpler Benutzerauthentifizierung übers AD.

Was sagt das Eventlog aufm NPS?
Bitte warten ..
Mitglied: KodaCH
27.09.2020 um 20:08 Uhr
Danke für deine Antwort. Auf dem NPS hab ich nur NPS Einträge wenn mein AP neu startet (keine Fehler)
Bitte warten ..
Mitglied: chgorges
27.09.2020 um 22:51 Uhr
Zitat von KodaCH:

Guten Abend
Hi,
Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.

Kann ich nicht nachvollziehen, Authentication = Port 1812, Accounting = Port 1813, gibt dir der UniFi Controller sogar pfannenfertig vor.
Authentication mit Port 1813 macht keinen Sinn, nimm das raus.

VG
Bitte warten ..
Mitglied: killtec
28.09.2020 um 09:03 Uhr
Hi,
hab das mit einem 2016er am laufen. Bei mir ist das so eingestellt:

ubnt - Klicke auf das Bild, um es zu vergrößern

Läuft mit Zertifikaten oder auch Benutzer / Kennwort.
Bitte warten ..
Mitglied: KerlIT
28.09.2020 um 10:20 Uhr
Zitat von KodaCH:

Guten Abend
Guten Morgen,

Nach dem ich mich nun noch länger mit dem Thema NPS Server beschäftig habe, habe ich mich nun nochmals an einen neuen Versuch gewagt mit UniFi Geräten.

Das ganze Setup habe ich eigentlich auch bereits 1:1 mit Cisco getestet und dort klappt es anstandslos.
Gleich vorab, weil es offenbar eine der häufigsten Stolperfallen ist: Bei UniFi agieren die APs alle einzeln als RADIUS Clients, d.h. sie müssen auch alle explizit als eben solche auf dem NPS konfiguriert sein.
Im UniFi Gerät habe ich ein RADIUS Profil erstellt. Als "Authentication Servers" habe ich zweimal den NPS Server mit dem Port 1812 und 1813 angegeben. Accounting ist deaktiviert.
Ich schließe mich chgorges an: Ein Authentication Server mit Port 1812 genügt, alles andere verwirrt hier erstmal nur.
Der NPS Server auf einem Windows Server 2019 ist so eingerichtet das er die Verbindung mit Client Zertifikaten aufbaut.
Diese Aussage müsstet Du noch, äh, etwas "entpacken". Am besten mit Screenshots der entsprechenden Verbindungsanforderungs- und Netzwerkrichtlinien im NPS.
Hänge ich nun einen Testclient (Lenovo T560) an die Domäne, verbindet sich alles nach wenigen Sekunden/Minuten.
Geschieht das vor oder erst nach der Benutzer-Anmeldung? Geschieht es gänzlich automatisch, oder wählst Du als angemeldeter Benutzer eines der verfügbaren WLANs wenigstens einmalig "händisch" aus und setzt dann den Haken für "Automatisch verbinden"?
Worauf ich hinaus will: Gibt es GPOs, die WLAN-Profile an die Clients verteilen? Gibt es ggf. auch GPOs, die das Zertifikats-Autoenrollment für Benutzer oder Computer steuern?
[... ] Das selbe wenn ich mich ohne WLAN anmelde weil sie noch nicht aufgebaut ist. [...]
Eine Verzögerung der Benutzer-Anmeldung durch gerade fehlende Netzwerk-Verbindung zu den DCs ist aber (in Abwesenheit sonstiger Domänen-spezifischer Anpassungen) durchaus "normal". Davon sollte man sich hier, glaube ich, nicht ablenken lassen.
Hat jemand eine Idee wo ich den Fehler suchen könnte?
Auf dem NPS:
  • In der MMC Rechtsklick auf Serverknoten -> Eigenschaften -> Allgemein -> Die beiden Haken für abgelehnte und erfolgreiche Authentifizierungsanforderungen setzen. Dann wird im NPS-Eventlog auch mehr geloggt und man kann erfolgreiche (Cisco) Authentifizierung mit (erfolgreicher / fehlgeschlagener / verzögerter) UniFi-Authentifizierung vergleichen.
  • Darüber hinaus in den NPS-Logfiles

Auf dem Client:
  • Eventlogs System
  • Eventlogs Anwendungs- und Dienstprotokolle -> Microsoft - Windows -> WLAN-AutoConfig
  • Kontrolle: Welche Zertifikate liegen unter MMC -> Zertifikate -> Eigenes Benutzerkonto -> Eigene Zertifikate -> Zertifikate?
  • Kontrolle: Welche Zertifikate liegen unter MMC -> Zertifikate -> Computerkonto -> Lokaler Computer -> Eigene Zertifikate -> Zertifikate?

PS. Ich weiss die UniFi Geräte sind für viele ein Graus. Trotzdem würde ich es auch mit den Geräten hin bekommen. Da es bei Cisco so geklappt hat nehme ich an ich müsste irgendwo beim AP von UniFi suchen. Finde aber keinen Anhaltspunkt.
Das ist in der Tat einen eigenen Thread wert... In Kurzform: Stell' Dich darauf ein, Mann-Tage und -Wochen an Arbeitszeit in eine UniFi-Lösung zu stecken, bis Du sie auf dem gleichen Niveau derer anderer Hersteller hast.

Gruss und Danke
Gutes Gelingen wünscht
Koda
KerlIT
Bitte warten ..
Mitglied: Xaero1982
28.09.2020 um 14:11 Uhr
Das ist in der Tat einen eigenen Thread wert... In Kurzform: Stell' Dich darauf ein, Mann-Tage und -Wochen an Arbeitszeit in eine UniFi-Lösung zu stecken, bis Du sie auf dem gleichen Niveau derer anderer Hersteller hast.

Kann ich definitiv nicht bestätigen. Ich hatte das in kürzester Zeit laufen, wenn die Grundzüge klar sind.

Grüße
Bitte warten ..
Mitglied: KodaCH
28.09.2020 um 19:27 Uhr
Guten Abend

Vielen Dank. Ich werde dies diese Woche so Testen und auf eure Rückfragen entsprechend Antwort geben.

Gruss

Koda
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
LAN, WAN, Wireless

Windows NPS Server - UniFi AP - Netz wählen

KodaCHFrageLAN, WAN, Wireless12 Kommentare

Guten Abend Ich habe auf einem Windows Server 2019 den NPS Server installiert und natürlich auch die Zertifizierungsstelle. Anschliessend ...

Windows Server

Unifi Zertifikat

Der.ITlerFrageWindows Server5 Kommentare

Hallo Ihr, Ich habe den Unifi Controller auf einen von 8 Hyper-V Host ( pro Host 128GB RAM) insgesamt ...

Windows Server

NPS - Lets Encrypt

gelöst WaishonFrageWindows Server10 Kommentare

Hallo, ich habe bei mir jetzt einen NPS Server zum Testen eingerichtet. Aktuell läuft dieser mit einem Selbstsignierten Zertifikate, ...

Windows Server

NPS - MAC Authentifizierung - Windows Server 2016

gelöst PhillusFrageWindows Server7 Kommentare

Guten Tag, ich habe mich nun schon durch viele Foren gearbeitet und auch viele Beiträge gelesen, die leider keine ...

Windows Server

NPS IAS logfile-viewer

lcer00FrageWindows Server3 Kommentare

Hallo zusammen, habt ihr Empfehlungen für einen Logfile-Viewer für die NPS bzw. IAS Server-Logfiles? Habe zum Beispiel gefunden. Oder ...

Windows 10

Windows 10 Explorer stürtzt sofort ab

gelöst simi2204FrageWindows 1026 Kommentare

Hallo zusammen ich habe folgendes Problem aber ich erkläre am besten erst mal wie es ablief. Ich habe auf ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT