Vorabüberlegung NAP für WiFi mit UniFi APs und Windows Server und Clients
Hallo,
ich überlege gerade, ein separates Produktiv-WLAN zu erstellen, da sich in dem aktuellem WLAN Netz zu viel rum tummelt. Es sollen nur die Firmen-Lapotps verbunden werden.
Als Hardware sind UniFI Switche und UniFi AP's vorhanden.
Serversystem sind per Kabel angebunden. Hier laufen Windows-Server 2016
Die Client-Systeme sind Windows 10 Clients.
Mein Ziel:
Das WLAN-Profil soll per GPO an die Clients verteilt werden. Diese sollen sich mittels WPA2-Enterprise (NAP) mit dem WLAN Verbinden.
Das soll auch funktionieren, wenn noch kein User am Gerät angemeldet ist.
Hat jemand so etwas in der Kombination umgesetzt und kann mir Tipps geben?
ich überlege gerade, ein separates Produktiv-WLAN zu erstellen, da sich in dem aktuellem WLAN Netz zu viel rum tummelt. Es sollen nur die Firmen-Lapotps verbunden werden.
Als Hardware sind UniFI Switche und UniFi AP's vorhanden.
Serversystem sind per Kabel angebunden. Hier laufen Windows-Server 2016
Die Client-Systeme sind Windows 10 Clients.
Mein Ziel:
Das WLAN-Profil soll per GPO an die Clients verteilt werden. Diese sollen sich mittels WPA2-Enterprise (NAP) mit dem WLAN Verbinden.
Das soll auch funktionieren, wenn noch kein User am Gerät angemeldet ist.
Hat jemand so etwas in der Kombination umgesetzt und kann mir Tipps geben?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 580185
Url: https://administrator.de/forum/vorabueberlegung-nap-fuer-wifi-mit-unifi-aps-und-windows-server-und-clients-580185.html
Ausgedruckt am: 02.04.2025 um 09:04 Uhr
10 Kommentare
Neuester Kommentar
Servus Killtec,
kein großes Problem wenn man sich an die Vorgaben hält dann funktioniert das problemlos, habe ich persönlich schon einige hundert mal so umgesetzt. Für die Authentifizierung der Clients benutze ich bisher immer (P)EAP-TLS mit Computerzertifikaten. Damit und in Verbindung mit einer Drahtlosrichtlinie(GPO) kann sich der Client auch schon vor der Anmeldung mit dem Drahtlos-Netz verbinden. Wenn du bereits eine Windows-CA betreibst reicht es wenn du mit den Standard-GPO-Methoden den Computern Computerzertifikate verpasst die diese dann auch für die WLAN-Auth benutzen können (FQDN muss im SAN enthalten sein).
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Die Einrichtung des Radius-Client auf dem UniFy-AP sollte ja keine große Sache sein, die besteht ja meist nur aus angeben von "WPA2-AES Enterprise" als Methode, EAP Passthrough, der IP des NPS und einem Kennwort mit dem sich der Radius-Client dann am NPS authentifiziert und welches auf beiden Seiten, also am NPS und am AP gleich sein müssen.
UniFi - Configuring Access Policies for Wireless Clients
Bei weiteren Fragen gerne nochmal auf mich zukommen.
Grüße Uwe
kein großes Problem wenn man sich an die Vorgaben hält dann funktioniert das problemlos, habe ich persönlich schon einige hundert mal so umgesetzt. Für die Authentifizierung der Clients benutze ich bisher immer (P)EAP-TLS mit Computerzertifikaten. Damit und in Verbindung mit einer Drahtlosrichtlinie(GPO) kann sich der Client auch schon vor der Anmeldung mit dem Drahtlos-Netz verbinden. Wenn du bereits eine Windows-CA betreibst reicht es wenn du mit den Standard-GPO-Methoden den Computern Computerzertifikate verpasst die diese dann auch für die WLAN-Auth benutzen können (FQDN muss im SAN enthalten sein).
Halte dich grundlegend an folgende Anleitung (bis auf die Einrichtung des AP) dann geht das schnell und meist reibungslos vonstatten:
NPS – Wireless authentication with Computer certificate ( EAP-TLS )
Die Einrichtung des Radius-Client auf dem UniFy-AP sollte ja keine große Sache sein, die besteht ja meist nur aus angeben von "WPA2-AES Enterprise" als Methode, EAP Passthrough, der IP des NPS und einem Kennwort mit dem sich der Radius-Client dann am NPS authentifiziert und welches auf beiden Seiten, also am NPS und am AP gleich sein müssen.
UniFi - Configuring Access Policies for Wireless Clients
Bei weiteren Fragen gerne nochmal auf mich zukommen.
Grüße Uwe
Zitat von @killtec:
Noch eine andere (weitere) Überlegung dazu. Reicht ein NPS Server im gesamten Netz wo Außenstellen via VPN angebunden sind?
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Naja, es ist ja so ein Single Point of Failure, d.h. ist der einzige NPS nicht erreichbar steht das WiFi in allen Aussenstellen. Zumindest einfache Redundanz würde ich einplanen damit der Betrieb nicht sofort überall still steht und man als Admin Zeit bekommt den problematischen NPS in der Zwischenzeit zu ersetzen.Noch eine andere (weitere) Überlegung dazu. Reicht ein NPS Server im gesamten Netz wo Außenstellen via VPN angebunden sind?
Hast du da Erfahrungen?
Alle AP's sind via IP erreichbar.
Hier deine erste Anlaufstelle zum Thema
Load Balancing with NPS Proxy
Zitat von @killtec:
ALso wenn ich das richtig verstehe ist es sinnvoll, an jedem Standort einen NPS stehen zu haben?
Wenn dort sowieso ein Server läuft wäre das eine Möglichkeit, du darfst dann aber auch nicht die redundante Anbindung an die Zentrale vergessen wenn am Standort kein DC steht.ALso wenn ich das richtig verstehe ist es sinnvoll, an jedem Standort einen NPS stehen zu haben?
Den NPS kann ich dann als Dienst auf einem vorhandenen Server mit laufen lassen wo nicht so viel Last drauf ist.
Ja kannst du. Kommt halt darauf an wie groß die Standorte ausfallen und wieviele APs und User sich das WLAN teilen.Ich denke nur der AD-Server ist hier eher nicht vorteilhaft?
Sicherheitstechnisch suboptimal, "DC bleibt DC bleibt DC". Es würde auch eine kleine Freeradius-VM tun wenn man Ressourcen oder Windows Lizenzen sparen möchte.Wenn es kleine Standorte mit wenigen Usern sind, und die Internetanbindung Redundant ausgelegt ist würde ich die NPS nur im Hauptstandort aufstellen, aber auch hier nur unter der Bedingung das die WLAN User sowieso nur über die VPN-Verbindung arbeiten. Müssen die User auch vor Ort mit lokalen Servern arbeiten ist ein OnSite NPS mit lokalem DC Pflicht.
Ist halt wie immer eine Situationsfrage.