2
WLAN und LAN Wechsel mit einem RADIUS gesteuertem WLAN funktioniert nicht
Hallo,
Zurzeit bin ich dabei, ein RADIUS gesteuertes WLAN einzuführen.
Das Funktioniert auch alles recht gut, jedoch habe ich folgendes Problem/Herausforderung:
Meldet sich ein User an seinen Computer an, so muss er sich am Speicherbildschirm erst am RADIUS authentifizieren.
Der RADIUS leitet die Anfrage ans Active Directory weiter, dieses prüft dann die eingegebenen Daten mit den für den User hinterlegten Daten.
Stimmen die Daten überein, wird der User eingeloggt und je nach RADIUS Anforderungen auch mit dem WLAN verbunden.
Möchten die User jetzt über LAN arbeiten und docken ihr Gerät an eine Docking-station oder schließen es mit einem LAN Kabel an, so ensteht eine zweite Verbindung über LAN.
Ziel ist es das sich die User wenn Sie im WLAN arbeiten und ins LAN wechseln, dass sich das WLAN automatisch deaktiviert/trennt o.ä. und andersrum genauso. Wird die LAN Verbindung deaktiviert, soll sich das WLAN automatisch verbinden.
Über die Adaptereinstellungen kann für jeden Adapter eine Metrik eingestellt werden, welche den Adapter mit der niedrigsten Metrik Prorisiert. Somit habe ich dem LAN Adapter die niedrigere Metrik vergeben. Das LAN wird zwar jetzt Priorisiert, jedoch arbeiten viele Programme immer noch über WLAN.
Durch etwas Recherche bin ich auf eine Gruppenrichtlinie gestoßen, welche folgendes beschreibt:
Diese Richtlinieneinstellung legt fest, ob ein Computer mehrere Verbindungen zum Internet oder zu einer Windows-Domäne haben kann. Wenn mehrere Verbindungen zugelassen sind, legt sie fest, wie der Netzwerkverkehr geroutet wird. Beim Neustart wird die WLAN Verbindung bei einer aktiven LAN Verbindung getrennt. --> Funktioniert auch wie oben gewollt.
Da dies jedoch eine Computerrichtlinie ist wird diese nur beim Start des Computers ausgeführt. Sperrt der User jetzt zum Beispiel den Rechner, landet er wieder in der "Vorauthentifizierung" und meldet sich wieder am WLAN an und wenn LAN noch aktiv ist entsteht wieder eine zweite Verbindung. Die Richtlinie greift hier dann nicht.
Gibt es eine Möglichkeit, dass bei jeder Anmeldung die Priorisierung geprüft und dementsprechend umgeschalten wird ?
Windows 10 Enterprise 1903
Active Directory läuft auf einem Windows Server 2012
RADIUS / Netzwerkrichtlinienserver - Windows Server 2019 Standard Vers. mit Grafischer Oberfläche
Externe Programme sollen nicht verwendet werden.
Vielen Dank & Viele Grüße.
Zurzeit bin ich dabei, ein RADIUS gesteuertes WLAN einzuführen.
Das Funktioniert auch alles recht gut, jedoch habe ich folgendes Problem/Herausforderung:
Meldet sich ein User an seinen Computer an, so muss er sich am Speicherbildschirm erst am RADIUS authentifizieren.
Der RADIUS leitet die Anfrage ans Active Directory weiter, dieses prüft dann die eingegebenen Daten mit den für den User hinterlegten Daten.
Stimmen die Daten überein, wird der User eingeloggt und je nach RADIUS Anforderungen auch mit dem WLAN verbunden.
Möchten die User jetzt über LAN arbeiten und docken ihr Gerät an eine Docking-station oder schließen es mit einem LAN Kabel an, so ensteht eine zweite Verbindung über LAN.
Ziel ist es das sich die User wenn Sie im WLAN arbeiten und ins LAN wechseln, dass sich das WLAN automatisch deaktiviert/trennt o.ä. und andersrum genauso. Wird die LAN Verbindung deaktiviert, soll sich das WLAN automatisch verbinden.
Über die Adaptereinstellungen kann für jeden Adapter eine Metrik eingestellt werden, welche den Adapter mit der niedrigsten Metrik Prorisiert. Somit habe ich dem LAN Adapter die niedrigere Metrik vergeben. Das LAN wird zwar jetzt Priorisiert, jedoch arbeiten viele Programme immer noch über WLAN.
Durch etwas Recherche bin ich auf eine Gruppenrichtlinie gestoßen, welche folgendes beschreibt:
Diese Richtlinieneinstellung legt fest, ob ein Computer mehrere Verbindungen zum Internet oder zu einer Windows-Domäne haben kann. Wenn mehrere Verbindungen zugelassen sind, legt sie fest, wie der Netzwerkverkehr geroutet wird. Beim Neustart wird die WLAN Verbindung bei einer aktiven LAN Verbindung getrennt. --> Funktioniert auch wie oben gewollt.
Da dies jedoch eine Computerrichtlinie ist wird diese nur beim Start des Computers ausgeführt. Sperrt der User jetzt zum Beispiel den Rechner, landet er wieder in der "Vorauthentifizierung" und meldet sich wieder am WLAN an und wenn LAN noch aktiv ist entsteht wieder eine zweite Verbindung. Die Richtlinie greift hier dann nicht.
Gibt es eine Möglichkeit, dass bei jeder Anmeldung die Priorisierung geprüft und dementsprechend umgeschalten wird ?
Windows 10 Enterprise 1903
Active Directory läuft auf einem Windows Server 2012
RADIUS / Netzwerkrichtlinienserver - Windows Server 2019 Standard Vers. mit Grafischer Oberfläche
Externe Programme sollen nicht verwendet werden.
Vielen Dank & Viele Grüße.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 576681
Url: https://administrator.de/contentid/576681
Printed on: May 4, 2024 at 09:05 o'clock
2 Comments
Latest comment
so muss er sich am Speicherbildschirm erst am RADIUS authentifizieren.
Was bitte soll ein "Speicherbildschirm" sein ??Außerdem muss das nicht sein, denn man kann den Client so einstellen das er automatisch den Loginnamen für die 802.1x Authentisierung nimmt, dann müssen die User auch nicht umständlich immer extra was eingeben.
so ensteht eine zweite Verbindung über LAN.
Im gleichen IP Netz ?? Das geht dann logischerweise so nicht, bzw. Windows kann damit nicht umgehen, denn ess bekommt dann an 2 NIC Adaptern parallel die gleiche IP und das gleiche Gateway (sofern gleiches Segment).Dann deaktiviert Windows den Adapter mit der schlechteren Metrik (früher die Bindungsreihenfolge).
Sowas kann niemals funktionieren und hat auch nichts mit der Radius Authentisierung zu tun !
Das löst man mit einer Segmentierung, denn normalerweise sollte sich WLAN und LAN aus Sicherheitsgründen niemals im gleichen IP Netz befinden.
Oder die Benutzer müssen dann ganz einfach über die Funktionstasten das WLAN mit einem simplen Tastendruck deaktivieren. Auch das löst das Problem sofort.
so muss er sich am Speicherbildschirm erst am RADIUS authentifizieren.
Es sollte "Sperrbildschirm" heißen.Außerdem muss das nicht sein, denn man kann den Client so einstellen das er automatisch den Loginnamen für die 802.1x Authentisierung nimmt, dann müssen die User auch nicht umständlich immer extra was eingeben.
Der Client ist so eingestellt das er für die RADIUS Authentifizierung den AD User nimmt, die Userdaten werden nur einmalig am Sperrbildschirm eingegeben.Im gleichen IP Netz ?? Das geht dann logischerweise so nicht, bzw. Windows kann damit nicht umgehen, denn ess bekommt dann an 2 NIC Adaptern parallel die gleiche IP und das gleiche Gateway (sofern gleiches Segment).
Im Netzwerk werden verschiedene VLANs genutzt. Das LAN sowie das WLAN haben einen eigenen IP Adress-Bereich.
