Windows 2019 NPS mit 802.1x EAP-TLS
Hallo Zusammen,
ich kämpfe jetzt schon 2 Tage mit einer 802.1x Radius Authentifizierung mit EAP-TLS
Habe folgendes Setup
Windows 2019 Server mit:
- AD (dc01.demo.local) mit händisch angelegten Benutzerkonto (Gerät unterstützt keine Domain Anmeldung/Registrierung!)
- Neue Organisationstonseinheit angelegt
- Benutzergruppe (Gruppe-A) erstellt (Global/Sicherheit)
- Benutzer "SI03" für Gerät angelegt und ist Mitglied der "Gruppe-A" zugewiesen (und Mitglied der Domänen-Benutzer)
- CA Installation (am lokalen Server)
- Zertifikatsvorlage Computer
- mit exportierbaren privaten Schlüssel
- Antragstellername
- Aus diesen Informationen in Active Directory erstellen
- Vollständiger definierter Name ... ausgewählt
- DNS-Name ... aktiviert
- Benutzerprizipalname (UPN) ... aktiviert
- Dienstprinzipalname (SPN) ... aktiviert
- NPS Setup
- Radius Client (Switch) mit Radius Key angelegt (Radius Verbindung ist richtig und funktioniert)
- Richtlinien
- Verbindungsanforderungsrichtlinie: (Windows-Authentifizierung für alle Benutzer verwenden)
- Netzwerkrichtlinie (Name "802.1x" angelegt")
- Bedingung
- Windowsgruppe (Gruppe-A)
- Authentifizierungsmethode
- Microsoft: geschütztes EAP (PEAP) mit
- "gesichertes Kennwort (EAP-MSCHAP v2)" und "Smartcard- oder anderes Zertifikat" eingestellt
Folgende Schritte wurden durchgeführt:
- Zertifikat über https:\\servername\certsrv erstellt
- CA Zertifikat und Benutzerzertifikat "SI03" inklusive privaten Schlüssel" im Gerät eingespielt und EAP-TLS aktiviert
- im AD wurde für den User "SI03" unter der "Namenszuordnungen ..." das Zertifikat zugeordnet ("Aussteller für alternative Sicherheitsidentität" ist deaktiviert und "Antragssteller für alternative Sicherheitsidentität" ist aktiviert). Zusätzlich ist unter Kerberos-Namen der "SI03.demo.local.com" eingetragen.
Im Zertifikat steht CN=SI03
- Unter den Benutzereigenschaften - Attribut Editor wurde bei servicePrincipalName der Eintrag host\SI03.demo.local.com
Problem:
- im Wireshark unter Radius sehe ich
1) -> Access-Request
2) <- Access-Challenge
3) -> Access-Request
4) <- Access-Reject
Am Server und der Ereignisanzeige bekomme ich die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEMO\SI03
Kontoname: SI03
Kontodomäne: DEMO
Vollqualifizierter Kontoname: DEMO\SI03
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: x-xx-x-xx-xx-xx
NAS:
NAS-IPv4-Adresse: 10.x.x.x
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: -
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SWxx
Client-IP-Adresse: 10.x.x.x
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: 802.1x
Netzwerkrichtlinienname: 802.1x
Authentifizierungsanbieter: Windows
Authentifizierungsserver: dc01.demo.local.com
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Wenn vielleicht jemand eine Lösung hätte wäre ich sehr dankbar!
ich kämpfe jetzt schon 2 Tage mit einer 802.1x Radius Authentifizierung mit EAP-TLS
Habe folgendes Setup
Windows 2019 Server mit:
- AD (dc01.demo.local) mit händisch angelegten Benutzerkonto (Gerät unterstützt keine Domain Anmeldung/Registrierung!)
- Neue Organisationstonseinheit angelegt
- Benutzergruppe (Gruppe-A) erstellt (Global/Sicherheit)
- Benutzer "SI03" für Gerät angelegt und ist Mitglied der "Gruppe-A" zugewiesen (und Mitglied der Domänen-Benutzer)
- CA Installation (am lokalen Server)
- Zertifikatsvorlage Computer
- mit exportierbaren privaten Schlüssel
- Antragstellername
- Aus diesen Informationen in Active Directory erstellen
- Vollständiger definierter Name ... ausgewählt
- DNS-Name ... aktiviert
- Benutzerprizipalname (UPN) ... aktiviert
- Dienstprinzipalname (SPN) ... aktiviert
- NPS Setup
- Radius Client (Switch) mit Radius Key angelegt (Radius Verbindung ist richtig und funktioniert)
- Richtlinien
- Verbindungsanforderungsrichtlinie: (Windows-Authentifizierung für alle Benutzer verwenden)
- Netzwerkrichtlinie (Name "802.1x" angelegt")
- Bedingung
- Windowsgruppe (Gruppe-A)
- Authentifizierungsmethode
- Microsoft: geschütztes EAP (PEAP) mit
- "gesichertes Kennwort (EAP-MSCHAP v2)" und "Smartcard- oder anderes Zertifikat" eingestellt
Folgende Schritte wurden durchgeführt:
- Zertifikat über https:\\servername\certsrv erstellt
- CA Zertifikat und Benutzerzertifikat "SI03" inklusive privaten Schlüssel" im Gerät eingespielt und EAP-TLS aktiviert
- im AD wurde für den User "SI03" unter der "Namenszuordnungen ..." das Zertifikat zugeordnet ("Aussteller für alternative Sicherheitsidentität" ist deaktiviert und "Antragssteller für alternative Sicherheitsidentität" ist aktiviert). Zusätzlich ist unter Kerberos-Namen der "SI03.demo.local.com" eingetragen.
Im Zertifikat steht CN=SI03
- Unter den Benutzereigenschaften - Attribut Editor wurde bei servicePrincipalName der Eintrag host\SI03.demo.local.com
Problem:
- im Wireshark unter Radius sehe ich
1) -> Access-Request
2) <- Access-Challenge
3) -> Access-Request
4) <- Access-Reject
Am Server und der Ereignisanzeige bekomme ich die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEMO\SI03
Kontoname: SI03
Kontodomäne: DEMO
Vollqualifizierter Kontoname: DEMO\SI03
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: x-xx-x-xx-xx-xx
NAS:
NAS-IPv4-Adresse: 10.x.x.x
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: -
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SWxx
Client-IP-Adresse: 10.x.x.x
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: 802.1x
Netzwerkrichtlinienname: 802.1x
Authentifizierungsanbieter: Windows
Authentifizierungsserver: dc01.demo.local.com
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Wenn vielleicht jemand eine Lösung hätte wäre ich sehr dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 664948
Url: https://administrator.de/forum/windows-2019-nps-mit-802-1x-eap-tls-664948.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
8 Kommentare
Neuester Kommentar
Die Antwort des Radius Servers ist ja mit "4) <- Access-Reject" recht eindeutig !
Der User ist unbekannt und folglich verwehrt ihm der Radius daraufhin den Zugang. Works as designed... !
Die entsprechenden Tutorials zu dem Thema hier hast du gelsesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
usw.
Die weiterführenden Links enthalten auch Hinweise zum korrekten Setup des NPS (Radius)
Der User ist unbekannt und folglich verwehrt ihm der Radius daraufhin den Zugang. Works as designed... !
Die entsprechenden Tutorials zu dem Thema hier hast du gelsesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
usw.
Die weiterführenden Links enthalten auch Hinweise zum korrekten Setup des NPS (Radius)
Hallo,
@aqui - das reject kommt ja vom NPS Server und dem passt das EAP nicht.
Was für eine gerät soll sich denn da anmelden? Normalerweise muss man das nicht anlegen, sondern ins AD joined. Bei Windowsgeräten muss 802.1x zudem konfiguriert werden.
Grüße
lcer
@aqui - das reject kommt ja vom NPS Server und dem passt das EAP nicht.
Was für eine gerät soll sich denn da anmelden? Normalerweise muss man das nicht anlegen, sondern ins AD joined. Bei Windowsgeräten muss 802.1x zudem konfiguriert werden.
Grüße
lcer
Hi,
wenn ich dich richtig verstehe, willst du ja zertifikatsbasierte Anmeldung am Radius durchführen. Geh mal hier durch, da wird beschrieben, wie man es beim IPad zb. macht.
https://www.msxfaq.de/windows/sicherheit/8021x.htm
Vielleicht hilfts ja
wenn ich dich richtig verstehe, willst du ja zertifikatsbasierte Anmeldung am Radius durchführen. Geh mal hier durch, da wird beschrieben, wie man es beim IPad zb. macht.
https://www.msxfaq.de/windows/sicherheit/8021x.htm
Vielleicht hilfts ja
Zitat von @NetNox:
@7Gizmo7
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte,
@7Gizmo7
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte,
Okay
Zertifikat im AD hinterlege
Das Zertifikat muss aber auf deine industriemaschine !
und den ServicePrincipalName(host\SI03.demo.local.com) einstelle.
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"