none
WLAN 802.1X mit Computerzertifikat Authentication (NPS) RRS feed

  • Frage

  • Hallo zusammen,

    das firmeninterne WLAN wird mittels RADIUS Server (Windows Server 2008 R2, NPS) und Computerzertifikaten (AD integrierte Zertifikatsstelle) verbunden. Die Einrichtung ist soweit wie unten kurz aufgelistet abgeschlossen und funktioniert.

    Computerzertifikate werden via GPO (Autoenrollment) für die entsprechenden Computer verteilt und erstellt

    RADIUS-Richtlinie ist entsprechend konfiguriert und erlaubt nur WLAN Verbindungen mit gültigem Computerzertifikat

    WLAN Profil wird dem Computer via GPO zugewiesen (WPA2 Enterprise, AES, Computerzertifikat Authentifizierung)

    Jetzt habe ich auf Windows 8 Tablet PCs folgendes Problem. Da die Tablets kein LAN Interface besitzen wird die WLAN-Verbindung bei der Ersteinrichtung über eine separate RADIUS Server Richtlinie mit Benutzerauthentifizierung vorgenommen. Diese benötige ich ja um eine Verbindung zum DC für den Domänenbeitritt herstellen zu können. Sobald der Computer dann seine GPOs erhält, unter anderem die Richtlinie "ComputerCertificateAutoenrollment" und "WLAN-Profil" habe ich das Problem, dass die Richtlinie "WLAN-Profil" zuerst greift, bevor sich der PC via GPO das Computerzertifikat holt.

    Dementsprechend hat das Tablet jetzt das WLAN Profil via GPO, in dem steht, dass er nur mit gültigem Computerzertifikat ins WLAN kommt. Da aber das Anfordern des Computerzertifikats noch nicht geschehen ist, obwohl die GPO zugewiesen wurde, hat der Computer keins und kommt nicht ins WLAN rein und kann sich das fehlende Zertifikat nicht holen.

    Hätte ich jetzt noch eine Verbindung über LAN würde er sich das Zertifikat darüber holen können und alles wäre gut.

    Gibt es hier ein Mechanismus, um die Zertifikatsanforderung zu beschleunigen?

    • Verschoben Alex Pitulice Dienstag, 22. Oktober 2013 14:31 Verschoben
    Mittwoch, 16. Oktober 2013 16:01

Antworten

  • Hallo Alex,

    wenn es geht würde ich es anders lösen sofern möglich, denn momentan habe ich 2 Lösungen, die für mich aber Workarounds sind:

    1. mit einem USBtoLan Adapter kann ich mir helfen, oder

    2. bei der Einrichtung das Computerkonto in eine temporäre Active-Directory Organisationseinheit (OU) verschiebe, in der nur die Richtlinie "ComputerCertificateAutoenrollment" aktiviert ist. Dann holt er sich sein Zertifikat und abschließend wird das Computerkonto in die richtige Active-Directory Organisationseinheit (OU) verschoben in der dann abschließend das WLAN-Profil via GPO verteilt wird.

    Beide Workarrounds funktionieren einwandfrei. Wenn das die Lösung ist und keiner eine andere Idee hat um diese Workarrounds einzusetzen ist das OK für mich.

    Dienstag, 22. Oktober 2013 13:06

Alle Antworten