none
Win 2012 R2 NPS Server WLAN mit 802.11x / Radius und Serverbassiernde Profile RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    habe ein kleines Problem, Notebooks die sich über 802.11x an unserem Windows 2012 R2 Network Policy Server authentifizieren bekommen wenn der User ein Server gespeichertes Profil hat die Fehlermeldung das das Profil nicht angeglichen werden kann.

    Wenn das Notebook über Kabel oder WLAN mit PSK angeschlossen ist funktionieren Serverbasierende Profile problemlos.  Die Anmeldung am NPS Server funktioniert auch.

    Hatte jemand schon so ein verhalten?

    Vielen Dank und Grüße

    Alex

    • Typ geändert Alex Pitulice Montag, 28. Juli 2014 09:35 Warten auf Feedback
    Montag, 21. Juli 2014 09:27

Alle Antworten

  • über 802.11x an unserem Windows 2012 R2 Network Policy Server authentifizieren

    802.11 sind Normen für Funknetze. Meinst du vielleicht 802.1X? Wenn ja, dass kann über WLAN oder über einen Switch realisiert werden. Welches Verfahren willst du einsetzen?

    Fehlermeldung das das Profil nicht angeglichen werden kann

    Was meinst du damit? Was soll da wo angeglichen werden?

    <Glaskugel an>

    Ich vermute mal, du willst WLAN über 801.1X einsetzen.

    Hast du auf dem WLAN-AP den gleichen geheimen RADUIS-Key eingegeben, wie auf dem NPS?

    Ist der WLAN-AP als RADIUS-Client auf dem NPS konfiguriert?

    Bekommt der WLAN-Client einen WLAN-Key?

    Hat der WLAN-Client eine gültige IP-Konfiguration?

    Hast du SSO für Computer und/oder Benutzer konfiguriert?

    <Glaskugel aus>

    Wie du siehst kann man dir mit den wenigen Angaben, die du gemacht hast nicht helfen.

    Was willst du erreichen?

    Was hast du konfiguriert?

    Was hast du schon probiert? Mit welchen Ergebnissen?

    Dienstag, 22. Juli 2014 06:39
  • Hallo,

    801.1x funktioniert, werde angemeldet und komme auch ins LAN. Ich bekomme nach dem Anmelden mit Benutzername und Kennwort folgende Meldungen:

    1:  Es konnten nicht alles Netzwerklaufwerke wiederhergestellt werden.

    (es haben alle Netzlaufwerke ein rotes Kreuz, wenn ich dann auf eines der Laufwerke klicke geht das rote Kreuz weg und ich komme auf die Freigabe).

    2:  Benutzerprofildienst   Es ist ein Problem mit Ihrem Roamingprofil aufgetreten. Sie wurden mit einem zuvor gespeicherten lokalen Profil angemeldet. Details finden Sie im Ereignisprotokoll, oder wenden Sie sich an den Administrator.

    Ereignisanzeige: 

    Das Serverexemplar des Roamingprofils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte.

    Details - Der Netzwerkpfad wurde nicht gefunden.

    Outlook funktioniert, Warenwirtschaft funktioniert, Internet funktioniert, ... alles ok

    Ich denke die Verbindung/Anmeldung mit 801.1x ist irgendwie "zu langsam" somit bekommt das Notebook einen time out ...

    Wenn ich mich nicht über 801.1x anmelde, sondern über WLAN mit PSK oder über LAN funktioniert der Abgleich mit dem Benutzerprofil (Server Laufwerke haben dann auch keine roten Kreuze).

    Viele Grüße

    Alex

    Dienstag, 22. Juli 2014 09:30
  • Setzte mal folgende Gruppenrichtlinien:

    • Anmeldeskripts gleichzeitig ausführen
    • Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten

    Ansonsten beantworte bitte meine Frage bzgl. SSO.

    Dienstag, 22. Juli 2014 13:13
  • SSO haben wir nicht konfiguriert.

    Einträge bei den Gruppenrichtlinien werde ich morgen testen.

    Dienstag, 22. Juli 2014 14:20
  • Hallo Alex,

    habe die zwei Gruppenrichtlinien ergänzt, leider keine Verbesserung, verhält sich noch genau gleich wie davor.

    Gruß

    Alex

    Montag, 28. Juli 2014 16:21
  • Kannst du bitte einen Screenshot der Verbindunganforderungsrichtlinie NAP 802.1X (drahtlos) und einen der Netzwerkrichtlinie NAP 802.1X (drahtlos) Kompatibel posten? Die Namen entsprechen denen, die der Assistent NAP konfigurieren erzeugt. Wenn du die Richtlinien manuell erstellt hast, heißen sie ggf. anders.

    Im Folgenden die Richtlinien, so wie sie vom Assistent erstellt werden.

    Montag, 28. Juli 2014 17:04
  • Sieht bei mir gleich aus...

     

    Die Authentifizierung funktioniert ja auch. Sobald ich nach der Windows Anmeldung auf den Windows Explorer starte und auf eines der Netzwerklaufwerke klicke kann ich auch darauf zugreifen (das rote Kreuz verschwindet und das Icon wird am Netzwerk grün).

    Montag, 28. Juli 2014 18:12
  • Diese beiden Richtlinien wirken vielleicht gar nicht, da sie erst an zweiter Stelle stehen. Wenn die Bedingungen deiner "*2 PEAP"-Richtlinien zutreffen, werde diese benutzt. Daher noch die Bitte, diese beiden Richtlinien zu veröffentlichen.

    Zumindest in deiner obigen Netzwerkrichtlinie stehen zwei Einstellungen, die dort meiner Meinung nach nichts zu suchen haben:

    1. NAP-Erzwingung kann nicht funktionieren, da du in den Bedingungen keine Integritätsrichtlinie hast
    2. IP-Einstellungen? Wird nicht ganz normal DHCP verwendet?

    Das deine Profile nicht geladen werden, weil sie laut deinem Ereignisprotokoll nicht gefunden werden können, kann meiner Meinung nach nur daran liegen, dass die Benutzeranmeldung bereits erfolgt, bevor die Netzwerkrichtlinie komplett abgearbeitet ist. Deshalb die Empfehlung die Gruppenrichtlinie Beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten zu aktivieren. Die ist genau für den Fall da. Du schreibst, dass du die Gruppenrichtlinie bereits ergänzt hättest und sie nichts bewirkt hätten. Das kann eigentlich nicht sein. Hast du sie auch wirklich auf die WLAN-Clients wirken lassen? Hast du auch bedacht, dass sie nicht über WLAN gezogen werden? (Sonst beißt sich die Katze nämlich in den Schwanz.)


    • Bearbeitet mslux Montag, 28. Juli 2014 18:59
    Montag, 28. Juli 2014 18:58
  • Die Richtlinien darüber sind deaktiviert, alle deaktivierten Richtlinien habe ich jetzt gelöscht.

    Wie muss die Integritätsrichtlinie genau aussehen?

    IP Adressen werden von einem Windows DHCP im Netz verteilt.

    Meine Gruppenrichtlinien:

    Montag, 28. Juli 2014 19:34
  • Ja mit der Katze und dem Schwanz ist es so eine Sache ...  ich lasse die Gruppenrichtlinien nochmal prüfen.

    Montag, 28. Juli 2014 19:34
  • Wie muss die Integritätsrichtlinie genau aussehen?

    Lass sie dir doch einfach vom Assistenten erzeugen. Klicke in der Konsole des Netzwerkrichtlinienservers auf NPS (Lokal) und dann auf NAP konfigurieren. Der Assistent wird alle drei Richtlinienarten erzeugen, aber du kannst sie ja immer wieder löschen, deaktivieren oder in der Verarbeitungsreihenfolge so anordnen, dass sie nie ausgeführt werden.

    Meine Gruppenrichtlinien:

    Sehe ich da ein Erzwungen Ja? Das kann keine gute Konfiguration sein. Gruppenrichtlinien werden weder erzungen noch hebt man die Vererbung auf. Wenn das doch nötig sein sollte zeugt das von einer falschen OU-Struktur.

    ich lasse die Gruppenrichtlinien nochmal prüfen.

    Prüfe vor allem, ob sie auf den Clients überhaupt wirken -> gpresult!

    Dienstag, 29. Juli 2014 19:29
  • Am 29.07.2014 um 21:29 schrieb mslux:
    > Sehe ich da ein /Erzwungen Ja/? Das kann keine gute Konfiguration sein.
    > Gruppenrichtlinien werden weder erzungen noch hebt man die Vererbung
    > auf. Wenn das doch nötig sein sollte zeugt das von einer falschen
    > OU-Struktur.
     
    +1 :)
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 30. Juli 2014 06:55